LAN2LAN VPN mit Draytek ROuter (Vigor 2866) hinter CG-NAT (DeutscheGlasfaser)

  • Moin in die Runde,


    unser Office-LAN ist per Draytek 2866 verbunden mit der DG als ISP. Der DG Anschluß hat eine private IPv4 (CG-NAT) und eine öffentliche IPv6.

    Zu zwei Aussenbüros (mit public IPv4, VDSL) baut der 2866 Lan2Lan Tunnel auf (IKEv2).

    Das Nette an der Konfig ist, dass der 2866 über L2L auch Multicasts überträgt, damit laufen die Apple Bonjour Dienste (Airprint, Airplay usw.) auch von dort.

    Leider können sich mobile Clients nicht wie früher (VDSL vor DG) direkt auf den 2866 einwählen. Unser NAS im Office LAN ist jetzt nur per Einwahl in eines der Aussenbüros erreichbar als Zwischen-Hop. Eine direkte Einwahl wäre performanter und stabiler.

    Mein Gedanke war, bei NETCUP einen Jump Server aufzubauen (public IPv4), der vom 2866 per L2L angewählt wird und als Gateway dient für mobile Clients, die sich dort einwählen. Als 'Gateway' soll(te) auf dem JumpServer die OpenVPN Access-Server UBUNTU Distri laufen.

    Also alles installiert, den 2866 konfiguriert und er verbindet auch mit dem OVPN-AS - Freude ... die leider schnell getrübt wurde: das Office-LAN hinter dem 2866 ist nicht erreichbar, weder von einem Einwahl-Client noch vom OpenVPN-AS VPS mit seinen diversen ast-x Routen.


    Der Draytek Support sagt nach diversen Test-Session: das geht nicht ... mit deren L2L OpenVPN Client. Nun kann ein Draytek Router neben OVPN-AS andere L2L Verbindungen aufbauen mit diversen weiteren Protokollen (PPTP, IPsec Tunnel, L2TP with IPsec Policy, SSL Tunnel).


    Bevor ich dies alles durchteste ... hat evtl. jemand damit schon positive Erfahrungen gesammt ... und was wäre der Weg ???


    VG und merci im voraus

  • Vom Bauchgefühl her hätte ich das Problem eher in der vorgefertigten OpenVPN Distri gesucht. Solche Distris setzen gern auf NAT für den VPN Zugang, damit ist man mit Verbindungen von außen natürlich raus. Außerdem unterbinden sie gern die Kommunikation zwischen den VPN Clients. Für solche speziellen Setups empfehle ich immer eine manuelle Konfiguration. Und ggf. auch Wirwguard anstatt OpenVPN.


    ABER:

    Der Draytek Support sagt nach diversen Test-Session: das geht nicht ... mit deren L2L OpenVPN Client. Nun kann ein Draytek Router neben OVPN-AS andere L2L Verbindungen aufbauen mit diversen weiteren Protokollen (PPTP, IPsec Tunnel, L2TP with IPsec Policy, SSL Tunnel).

    Warum geht es nicht? Und du schreibst, dass der Draytek neben OVPN auch andere L2L aufbauen kann. Das ist doch exakt das, was du willst.

  • danke für die Hinweise ...

    Die Eigenart der Draytek Router ist, dass sich vieles konfigurieren lässt, aber nur manches funktioniert und der Syslog auch nicht immer verwertbare Fehlermeldungen ausspuckt.

    Draytek erwartet in der Regel an beiden Enden des Tunnels einen Draytek Router, das ist die Standard-Anwendung, Klick Klick und läuft. Die Öffnung zu anderen Herstellern / Protokollen hat eher Labor-Qualität.

    Am besten orientiert man sich deshalb zum Anfang an der Draytek Knowledge-Base. Die Einträge dort beziehen sich leider auf die Gegenrichtung, z.B. OpenVPN Client baut Tunnel zum Router auf.

    Insofern war mein Gedanke die Frage hier zu stellen, ob jemand die Aufgabe bereits gelöst hat ... das spart Zeit für eigene Tests.

  • kurz die Lösung - RASPI 4 im Office-LAN mit Site-to-Site zu dem NETCUP OpenVPN-AS, zu dem sich auch der mobile Client verbindet.

    Einziger bislang erkannter Mangel - mDNS (Apple Bonjour) geht unterwegs verloren ...

    Der Draytek ist somit aussen vor.

  • Moinsen, danke für die Hinweise.


    Ja klar, L2 Interfaces wären sehr nett ... leider gibt es die für iOS nicht soweit mir bekannt, das ist "Apple niente ...".

    Der Stack, egal ob OVPN oder WG spielt da nach meiner Einsicht keinen Unterschied.

    Selbst AVAHI auf dem OpenVPN-AS würde nix nutzen, für iOS Devices müsste man ein virtuelles ETH Interfache einbinden können,

    Kudos für denjenigen, der da einen Tipp geben kann ;)


    Nunmal eine Lanze für Draytek - deren Lan-2-Lan VPNs zwischen hauseigenen Routern unterstützen (trotz Routing über die Strecken) Multicasts.

    Hört sich komplex an, ist es aber nicht - Office-Lan ist im Sternzentrum, an den Standorte in den Sternspitzen sind die Edge Devices per WIFI am lokalen Standortrouter (mit jeweils eigenem LAN) eingebucht:

    1. Jede Sternspitze hat ein lokales LAN und ist per L2L Tunnel mit dem Zentrum verbunden

    2. (*1*)Routing: jedes Edgedevice in einer Sternspitze kann jede andere per IP Adresse im Zentrum oder in einer Spitze erreichen (das ist Routing, NAT geht nicht über mehrere Hops hinweg).

    3. mDNS: jede Sternspitze kann jede AIRxxx mDNS Resource im Office-Lan (Zentrum) nutzen

    4. mDNS zwischen den Sternspitzen habe ich noch nicht getestet, da fehlen die lokalen Ressouren, würde mich sehr wundern, wenn das klappt, das wäre dann mDNS Super-Multicasting ...?

    5. was geht nicht, wie bei OpenVPN - draytek bietet einen eigenen iOS VPN Client. Sobald dieser für eine Einwahl genutzt wird, sind die mDNS Ressourcen nicht sichtbar, also kein Defizit ggü. eine O-VPN Einwahl ... bis auf, dass es bei einer O-VPN Einwahl kein Zugriff auf andere Sternspitzen gibt, anders als bei dem Draytek VPN Client.


    (*1*) - genau diesen Punkt 2 vermisse ich, wenn sich ein Edge-Device per OpenVPN-AS als Vermittlungstelle und über den RASPI als Gateway im Office-LAN einbucht. Die Performance ist Top (*2*), aber das Routing in die anderen Sternspitzen klappt nicht (erster Befund, ohne Ursacheanalyse).

    Eigentlich müsste ich im iOS die fehlenden Routen mit dem Gateway als Interface eintragen können für einen OpenVPN Client, geht aber nicht bei iOS, sic.


    (*2*) - warum die ganze Übung? Ich verwende einen Deutsche-Glasfaser ISP Anschluss mit 150 Mbit/s. Uplink - im Vergleich mit einen DTAG GF 40 Mbit/s. Uplink sehr lukrativ für Backups in eine Cloud und weitere serverlastige Apps ...

    Leider ist der DG Anschluss CG-NAT (für IPv4), d.h. nicht anwählbar von extern.

    Design ist also - der Office-LAN Router wählt den OpenVPN-AS an und baut einen permanten Tunnel auf, Edge Devices wählen sich am OpenVPN-AS bei seiner öffentliche IPv4 ein und der AS agiert als Vermittlungsstelle.

    Der Office-Lan-Router von Draytek funktioniert leider als OpenVPN-Client nicht (siehe ersten Post), also RASPI ins Office-Lan als OpenVPN-Client und alles ist gut.

    Die Performance des RASPI reicht für ruckelfreies Streaming von Produkt-Videos, das ist schon beeindruckend für so ein überschaubares Stückchen RASPI 4 Hardware.


    Meine Hoffnung ist jetzt IPv6, aber nicht direkt, sondern über eine Art Access-Server als Security-Device. Da haben die Draytek Router allerdings noch ein paar Hausaufgaben zuvor zu erledigen. Der Draytek Router Firewall ansich ist allerding perfekt für solch einen Ansatz ausgerüstet.

    Über Neuigkeiten/Fortschritte werde ich posten.

  • Spielt iOS da wirklich so eine außergewöhnliche Rolle? Ich hab das hier im Grunde genau so realisiert, wie du es beschrieben hast. Es gibt einen zentralen Server mit öffentlichen IPs und da wählen sich die Satelliten ein. Konfigurationen und Routen werden per CCD vom Server verteilt. Das war auf keinen verbundenen Client ein Problem, weder bei den LAN Devices (sind auch Rapsis) noch bei den Road-Warriorn (Handy, Tablets, Notebooks).