OpenVPN Site to Site (VPN Gateway), Ubuntu Access Server

  • Das ist ja genau meine Frage. Was muss ich wo im Netcup VLAN machen - wo muss ich hier welche Routen eintragen? Ich habe hier ja keinen Router als Default Gateway.

    Dann fehlt dir aber einiges an Theorie - nämlich die Frage: was ist ein Router.

    Ein Router ist eine Software, die Entscheidungen trifft welche Pakete wohin kommen.


    Eine Entscheidung ist hier vorallem: an welche Netzwerkkarte meiner 2/3 Karten muss das Paket hingeschickt werden.

    In diesem Fall ist der VPN Server ein Router - der weiß natürlich welche Interfaces er angeschlossen hat (Direct Connected) - muss aber informiert werden, welche Netze sich noch erreichbar dahinter verbergen.


    Für den Fall, dass die Server nur mit dem Cloud VLAN verbunden sind, kannst du bei den Servern als Default Gateway den VPN Server einstellen.

    Für den Fall, dass die Server mit dem VLAN und dem Internet verbunden sind, musst du die Routen auf den Servern entsprechend statisch setzen, oder ein Routingprotokoll wie OSPF verwenden.


    Das unterscheidet nämlich "Site to Site" von "Point to Point" - am Ende jedes Punktes ist je ein Router.

    Der Linux Kernel ist ein Router.


    Site 2 Site ist eigentlich nur Point to Point - nur halt mit Routern - der Tunnel unterscheidet sich aber null, da das IP Protokoll beide Szenarien abbildet.

    Gerade das ist das Schöne am OSI Stack: jedes Protokoll ist protokollagnostisch gegenüber seinem 'drunterliegendem Protokoll.

  • Eine Entscheidung ist hier vorallem: an welche Netzwerkkarte meiner 2/3 Karten muss das Paket hingeschickt werden.

    In diesem Fall ist der VPN Server ein Router - der weiß natürlich welche Interfaces er angeschlossen hat (Direct Connected) - muss aber informiert werden, welche Netze sich noch erreichbar dahinter verbergen.


    Für den Fall, dass die Server nur mit dem Cloud VLAN verbunden sind, kannst du bei den Servern als Default Gateway den VPN Server einstellen.

    Für den Fall, dass die Server mit dem VLAN und dem Internet verbunden sind, musst du die Routen auf den Servern entsprechend statisch setzen, oder ein Routingprotokoll wie OSPF verwenden.

    Natürlich weiß ich grundsätzlich, was ein Router ist. Allerdings fehlt mir das Verständnis zum Thema VLAN. Also ich soll dann den VPN-Server als Default Gateway bzw. in meinem Fall wohl eher Routen einstellen. Ich möchte das Thema VLAN hier dann im ersten Schritt gerne außen vor lassen. Dann sprechen wir nur vom Host des VPN Servers (bereits von dort habe ich ja keine Verbindung ins Heimnetz) - dort trage ich dann was genau ein? Der VPN-Server hat ja die gleiche IP wie der Host.


    Auf welcher Netzwerkkarte oder auf beiden?


    Bisher habe ich mit VPN ja immer nur in eine Richtung gearbeitet und nicht wieder zurück. Da ist dann klar, dass die Route am Default-Gateway zum VPN Server gesetzt werden muss. Wenn ich aber eine Verbindung vom Client zum Server aufbaue, verstehe ich nicht wirklich, welche Routen ich setzen muss, damit mein Default Gateway am Ziel weiß, wie es ins entfernte Netz zurück kommt. Wie baut das Zielsystem überhaupt den Tunnel in die andere Richtung auf, wenn ich von dort aus ja gar nichts mache - sagt dann der VPN Server: Bitte baue auch eine Verbindung in die Gegenrichtung auf?


    Muss ich hier irgendwie komplett umgekehrt denken?

  • Allerdings fehlt mir das Verständnis zum Thema VLAN.

    Das VLAN ist im netcup Kontext ja nur eine zusätzliche "Netzwerkkarte", die im Linux genau so auftaucht, wie alle anderen auch, also die "physikalische" Karte ins Internet und das VPN Interface.


    Also ich soll dann den VPN-Server als Default Gateway bzw. in meinem Fall wohl eher Routen einstellen.

    Den VPN Server als Default-Gateway zu benutzen, ist eine Möglichkeit. Eine andere ist, eine passende Subnetzroute im VLAN Rechner einzurichten.


    Dann sprechen wir nur vom Host des VPN Servers (bereits von dort habe ich ja keine Verbindung ins Heimnetz) - dort trage ich dann was genau ein?

    Wenn alles richtig konfiguriert ist, dann kümmert sich OpenVPN um das Anlegen der Routen. Wenn das nicht passiert, dann hast du die Subnetz-Informationen des VPN Clients noch nicht richtig eingetragen. Wie gesagt - ein iroute Eintrag an der richtigen Stelle. Oder es ist NAT im Spiel.

    Willst du nicht mal ernsthaft in Erwägung ziehen, auf die Community Variante von OpenVPN zu wechseln? Da weiß man wenigstens, was passiert.


    Der VPN-Server hat ja die gleiche IP wie der Host.

    Über das Transport-Netz von OpenVPN hat er auf seinem Host-Interface, seinem VLAN-Interface und seinem VPN Interface durchaus unterschiedliche IPs. Auf dem VPN Server muss das in den Routen berücksichtigt werden (was OpenVPN automatisch macht - eigentlich). Auf den Rechnern im VLAN ist es aber so, dass man die VLAN-IP des Servers als Routing Ziel angeben muss.


    Bisher habe ich mit VPN ja immer nur in eine Richtung gearbeitet und nicht wieder zurück. Da ist dann klar, dass die Route am Default-Gateway zum VPN Server gesetzt werden muss.

    Beides hat eigentlich gar nichts miteinander zu tun. Und VPN Datenverkehr ist immer bidirektional. Der zweite Satz gilt so eigentlich nur, wenn für die Geräte im Netz das Defaultgateway über VPN geleitet werden soll.


    Wenn ich aber eine Verbindung vom Client zum Server aufbaue, verstehe ich nicht wirklich, welche Routen ich setzen muss, damit mein Default Gateway am Ziel weiß, wie es ins entfernte Netz zurück kommt.

    Muss es denn das Default Gateway sein? Im netcup Netz ist das Defaultgateway für deine Server ja irgendein Rechner in der Infrastruktur, auf den du gar keinen Zugriff hast. Du solltest eher dafür sorgen, dass deine Server über alle Routen verfügen, die sie brauchen.


    Wie baut das Zielsystem überhaupt den Tunnel in die andere Richtung auf, wenn ich von dort aus ja gar nichts mache - sagt dann der VPN Server: Bitte baue auch eine Verbindung in die Gegenrichtung auf?

    Nein. Dafür reicht ein Tunnel.


    Folgende Frage: Kannst du aus deinem Heimnetz den Rechner im VLAN bei Netcup anpingen? Oder kannst du nur den VPN Server anpingen?

    - Wenn ersteres geht, dann ist vermutlich NAT im Spiel, denn sonst müsste auch der Rückweg funktionieren

    - Wenn nur zweiteres geht, dann ist die Frage, welche IP des Servers du erreichen kannst. Die vom VPN Transportnetz? Oder auch die des VLAN Interfaces?

  • Ich kann aus dem Heimnetz beide Rechner am Ziel anpingen, also insbesondere auch den VPS, auf dem nicht der VPN Server läuft. Wie gesagt: In diese Richtung gibt es keine Probleme. In die andere kann ich aber nicht pingen, wenn der Tunnel aktiv ist.


    Die Community Variante wäre eine Möglichkeit, ja. Allerdings stellt sich dann die Frage, ob ich nicht lieber auf eine Lösung wie pfsense oder opnsense oder ZeroTier zurückgreife, wenn ich sowieso neu anfangen muss. Falls ich OpenVPN wähle, wäre auch zu klären, was ich am besten als OS nehme. Mein Problem mit Ubuntu ist schon, dass ich es nicht hinbekomme, dass das richtige Keyboard-Layout verwendet wird. Das ist bei jedem Schritt mit dem Terminal frustrierend. Keine Ahnung, ob das mit einer anderen Distribution besser wäre...

  • Allerdings fehlt mir das Verständnis zum Thema VLAN.

    Das Netcup Cloud vLAN ist nichts anderes, als ein einfacher Layer 2 Switch.



    Dann sprechen wir nur vom Host des VPN Servers (bereits von dort habe ich ja keine Verbindung ins Heimnetz) - dort trage ich dann was genau ein?

    Dort legst du die Route für dein Heimnetz an. Sei 192.168.100.0/24 dein Heimnetz um 10.8.0.3 dein VPN Client brauchst du eine Route: 192.168.100.0/24 via 10.8.0.3 dev tun0


    Bisher habe ich mit VPN ja immer nur in eine Richtung gearbeitet und nicht wieder zurück.


    Wie baut das Zielsystem überhaupt den Tunnel in die andere Richtung auf, wenn ich von dort aus ja gar nichts mache - sagt dann der VPN Server: Bitte baue auch eine Verbindung in die Gegenrichtung auf?

    TCP, UDP und ICMP sind bidirektional - sonst würdest du keine Antwort erhalten wenn du von deinem Client eine Anfrage zum Server schickst.

    Client und Server beziehen sich dabei darauf, wer die Verbindung zum VPN Server initiiert. Das was im Inneren des Tunnels passiert, funktioniert in beide Richtungen.


    Muss ich hier irgendwie komplett umgekehrt denken?

    Grundsätzlich. Vergiss bitte alles, was du zu dem Thema glaubst zu wissen. In den bisherigen Themen hast du gezeigt, dass deine Annahmen nicht stimmen.

    Das geht los bei "Ich brauche einen VPN, also installiere ich mir einen Hypervisor (ESXi)", geht über OpenVPN Lizenzen und mündet nicht zuletzt hier.

    Beschäftige dich von Grund auf an mit diesem Thema, gucke dir Datennetze an und lerne den Umgang von Netzwerken mit Linux.


    Keiner kann dir hier eine Vorlesung zu den Themen halten. Bitte nimm es auch nicht persönlich - setze dich einfach mit dem Thema auseinander.

    Wenn du das nicht möchtest, musst du wohl zwangsweise jemanden dafür bezahlen, der dir das einrichtet.


    Ich möchte dir ans Herz legen, vergiss den OpenVPN Access Server und nimm stattdessen die Software openvpn-server, die du in vielen Linux Distributionen in den Paketquellen findest und die auch für Windows erhältlich ist. Diese ist quelloffen und in jedem Anwendungsszenario kostenfrei.

    Resourcen dazu findest du unter: https://openvpn.net/community-resources/ und https://community.openvpn.net/openvpn/wiki


    Gucke bitte bei OpenVPN unter der Community Seite.


    Wenn du dennoch den Access Server einsetzen möchtest, steht in dem von dir verlinkten Artikel alles drinne, was du wissen musst.

  • pfsense oder opnsense

    Beides sind BSD Betriebssysteme für Firewall und Routingzwecke und keine VPNs.



    ZeroTier

    ZeroTier ist wieder eine VPN Lösung, jedoch kein Betriebssystem. Alternativen sind bspw. pritunl oder Wireguard.



    Mein Problem mit Ubuntu ist schon, dass ich es nicht hinbekomme, dass das richtige Keyboard-Layout verwendet wird. Das ist bei jedem Schritt mit dem Terminal frustrierend. Keine Ahnung, ob das mit einer anderen Distribution besser wäre...

    Über SSH ist das eigentlich kein Problem. Falls du kein SSH nutzt: nutze SSH.

    Falls du das SCP nutzt gibt es in den SCP Einstellungen eine Tastaturbelegung. Wie man das bei Ubuntu einstellt, kann z.B. im ubuntuusers Wiki nachgelesen werden. Nutze zur Bedienung des Servers nicht das SCP, sondern SSH.

  • Ich kann aus dem Heimnetz beide Rechner am Ziel anpingen, also insbesondere auch den VPS, auf dem nicht der VPN Server läuft. Wie gesagt: In diese Richtung gibt es keine Probleme. In die andere kann ich aber nicht pingen, wenn der Tunnel aktiv ist.

    Dann würde ich Geld drauf wetten, dass NAT aktiv ist.



    Mein Problem mit Ubuntu ist schon, dass ich es nicht hinbekomme, dass das richtige Keyboard-Layout verwendet wird. Das ist bei jedem Schritt mit dem Terminal frustrierend.

    Ich hoffe inständig, du nutzt das System nicht über die Console im SCP? Und am Ende wahrscheinlich noch mit einer grafischen Oberfläche auf dem Server und xterm?


    Das wird ein weiter Weg. So viel steht fest.


    Mal ne blöde Frage: Wie sicherst du den Server ab gegen Fremdzugriffe und Attacken? Wie ich hier woanders schon mal dargelegt habe, hab ich einen unerwünschten Zugriff pro Sekunde auf meinen Server IPs - also zigtausende pro Tag. Und der OpenVPN Access Server öffnet ja ein Webinterface ...

  • Ich danke euch für die Kommentare. Es war auch nicht meine Absicht, das hier so sehr auszubreiten. Vielleicht war es dann etwas viel auf einmal. Ich bin halt normalerweise im Windows-Umfeld unterwegs.


    Ihr würdet also schon aus Sicherheitsgründen von einem solchen Setup abraten? Das bekomme ich auch mit ZeroTier nicht in den Griff?

    Das Ergebnis soll einfach sein, dass meine Endgeräte in beide Richtungen vernetzt sind, weil ich langfristig von den Servern Zuhause weg möchte.


    Zum Thema NAT dennoch zwei Screenshots. Ich wüsste nicht, wo das aktiv sein sollte.

  • Das Ergebnis soll einfach sein, dass meine Endgeräte in beide Richtungen vernetzt sind, weil ich langfristig von den Servern Zuhause weg möchte.

    Die Server, die du langfristig umziehen möchtest - sind das Windows Server?

    Wenn ja, würde ich mir tatsächlich dedizierte Server (Blech) mieten - beim Anbieter mit dem großen H - dort dann Proxmox oder ESXi installieren, damit die Windows Server sicher abgekapselt - wie im Heimnetzwerk - laufen können. Das läuft dann wenigstens und du weißt, wie du die Dinger absichern musst.


    Das ganze bei Netcup nachzustellen mit RS, OpenBSD (pfSense / OPNSense) und Linux ist ein weiter Weg.

  • Die Server, die du langfristig umziehen möchtest - sind das Windows Server?

    Wenn ja, würde ich mir tatsächlich dedizierte Server (Blech) mieten - beim Anbieter mit dem großen H - dort dann Proxmox oder ESXi installieren, damit die Windows Server sicher abgekapselt - wie im Heimnetzwerk - laufen können. Das läuft dann wenigstens und du weißt, wie du die Dinger absichern musst.


    Das ganze bei Netcup nachzustellen mit RS, OpenBSD (pfSense / OPNSense) und Linux ist ein weiter Weg.

    Ja, das sind im Wesentlichen Windows-Server. Ist halt ein erheblicher Kostenfaktor, da das ja irgendwo bei 40 EUR oder so im Monat losgeht. Oder wisst ihr da preiswertere Alternativen? Ich brauche keine 64 GB RAM oder dergleichen.

  • Ja, das sind im Wesentlichen Windows-Server. Ist halt ein erheblicher Kostenfaktor, da das ja irgendwo bei 40 EUR oder so im Monat losgeht. Oder wisst ihr da preiswertere Alternativen? Ich brauche keine 64 GB RAM oder dergleichen.

    Rechne das mal durch - für jeden Windows Server einen passenden RS / (VPS), dazu dann noch einen Server fürs Routing / VPN.

    Da sind die 40€ ein Schnapper gegen.


    Vielleicht solltest du auch gucken, welche Anwendungen du da wirklich brauchst - Active Directory / Exchange im Privatem? Braucht man das wirklich oder sollte das evtl. doch als Laborumgebung zuhause bleiben.


    Ich habe zuhause auch Server stehen, die das nötigste machen - die Dienste gehören für mich aber nicht ins Rechenzentrum.


    Warum willst du das denn Umziehen, wenn dir 40€ zu teuer sind?

  • Im Wesentlichen möchte ich planbare (Strom-)Kosten haben. Zuhause haben ich derzeit drei physikalische Maschinen stehen, wenn ich das NAS dazurechne. Die sind von den Ressourcen auch ausgereizt. Dann müsste ich mehr oder etwas Größeres kaufen. Auch der physische Platz ist ein Faktor. Exchange benötige ich nicht, das würde ich nicht machen. AD allerdings hat für mich schon viele praktische Vorteile. Aber vielleicht sollte ich das noch einmal grundlegend überdenken und doch Zuhause ausbauen. Ich sage nicht, dass die 40 EUR insgesamt zu viel sind, es soll aber halt im Moment nur eine Ergänzung sein.

  • Ja, das sind im Wesentlichen Windows-Server. Ist halt ein erheblicher Kostenfaktor, da das ja irgendwo bei 40 EUR oder so im Monat losgeht. Oder wisst ihr da preiswertere Alternativen?

    40 EUR sind wirklich die untere Grenze für dedizierte Server. Und auch bei H. wirst du für diesen Preis nur was in der Serverbörse bekommen.

    40-50 EUR für ein echtes Blech ist preiswert. (Und auch im Wortsinn "Den Preis wert")

    Im Wesentlichen möchte ich planbare (Strom-)Kosten haben.

    Verschiedene Provider haben ja inzwischen schon die Serverpreise noch oben korrigiert, aufgrund der gestiegenen Stromkosten.

    Ich gehe davon aus, dass hier demnächst nochmal Anpassungen erfolgen werden.

  • Mit "H." meinst du schon Hetz ner (wird Konkurrenz hier zensiert?) Da geht es tatsächlich bei ca. 40 EUR regulär los. Oder unterliege ich da einem Irrtum?

    Ja. Aber das ist dann Standort Helsinki. Falkenstein fängt bei 46,41 an.

    wird Konkurrenz hier zensiert?

    Wird sie. (Begründung findet sich irgendwo in den Tiefen des Forums)

  • wird Konkurrenz hier zensiert?

    Wird sie. (Begründung findet sich irgendwo in den Tiefen des Forums)

    Begründung:


    SSD Read / Write slow VPS Karneval, Besser bei VPS "Normal" ? - netcup Kundenforum
    Moin, ich konnte über das Forum hier einen zweiten VPS Karneval ergattern, 2 vCore, 160 GB SSD, 4GB Ram.Leider läuft der zweite unglaublich zäh. Die…
    forum.netcup.de

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Gefällt mir 1 Danke 1
  • Wir sind nun schon auf der zweiten Seite und wissen eigentlich alle (inklusive anscheinend Dir) immer noch nicht, was Du warum eigentlich machen willst. Was Du im Post #6 erzählt hast, reicht hierfür nicht.


    Was soll wo und wieso laufen?


    Nebenbei sind die beiden Netcup Server nicht "hinter" dem Cloud VLAN. Das Cloud VLAN ist als zweite Netzwerkkarte neben dem Interface das Richtung Internet geht auf beiden Kisten eingehängt. Falls Du wirklich einen Server "hinter" einen anderen hängen willst, müsstest Du auf einem (dem kleineren?) Server allen Traffic auf dem Internetinterface entgegen nehmen und über das VLAN an den anderen Server weitervermitteln. Der zweite Server müsste dann ein deaktiviertes Internet Interface und ausschließlich das VLAN Interface haben.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 2
  • Ich bin einfach durch die Kommentare ins Grübeln geraten. Ich habe mich jetzt auch einmal an ZeroTier herangewagt. Dies scheint grundsätzlich gut zu funktionieren. Hierbei habe ich aber festgestellt, dass auf dem Netcup VPS Probleme vorhanden sind. Denn wenn ich von dort ins heimische LAN gelangen will, gelingt dies nur teilweise (Größtenteils, aber nicht immer, Paketverlust beim Pingen; kein Dateizugriff; jedoch Webzugriff). Gleichzeitig gelingt der Zugriff z.B. vom Smartphone mittels Mobilfunkverbindung ohne Probleme. Das lässt mich glauben, dass es mit den beiden NICs zu tun haben könnte. Beim VLAN NIC habe ich z.B. kein Standardgateway angelegt und bin nicht sicher, ob dies so richtig ist. Auch hatte ich in anderer Konstellation schon einmal Probleme mit der Metrik.


    Wenn man mir nun aber angesichts des vielen Hin und Her hier nicht mehr helfen möchte, kann ich das verstehen.


    Was ich machen möchte: Ich möchte meine Netcup-Server ins heimische LAN bringen.

  • Beim VLAN NIC habe ich z.B. kein Standardgateway angelegt und bin nicht sicher, ob dies so richtig ist.

    Das hat erst mal gar nichts mit VPN zu tun. Hier musst du dich nur fragen: Soll der Server sämtlichen Internetdatenverkehr über das VLAN abwickeln? Wenn ja, dann gehört da eine Defaultroute hin, sonst nicht.


    Aber wenn dein VPN schon erreichbar ist, dann wird eine Defaultroute daran nichts ändern oder verbessern. Gegen Paketverluste helfen keine Routen.