Beiträge von Antijurist

Zitat von frank_m

Mir ist das Setup noch nicht ganz klar.

Also du hast einen Server bei netcup, der den Internetzugang zur Verfügung stellt und auch der OpenVPN Server ist, auf den sich die VPN Clients verbinden (OpenVPN Transport Netz). Einige dieser Clients (Sites) bringen ein eigenes Netz mit. Einige nicht (Road Warriors). Dazu gibt es ein Netz, dass hinter einem netcup VLAN hängt (VLAN Netz).

Im Grunde ist die Konfiguration recht einfach. Ich hab das bei mir über CCDs gelöst. Damit kann man serverseitig für jeden verbundenen Client eine spezifische Konfiguration ablegen, was sich natürlich besonders für Routing Informationen anbietet. In Kürze: ein Netz, dass ein Client über VPN erreichen können soll, wird mit

Code

push "route a.b.c.0 255.255.255.0"
push "route-ipv6 x:y:z::/64"

bekannt gegeben. Stellt ein Client selber ein Netz fürs VPN zur Verfügung, muss ein Eintrag

Code

iroute d.e.f.0 255.255.255.0

in seiner CCD Konfig vorhanden sein.

Sollen alle Clients Zugriff aufs VLAN Netz haben? Dann kannst du die entsprechenden Routen fürs VLAN direkt in die server.conf eintragen . Ansonsten kommen die Einträge in die ccd Konfig für die Clients, die den Zugriff haben sollen.

Ebenfalls in die ccd Konfig kommt der Eintrag für die lokalen Netze der Sites. Stellt eine Site zum Beispiel das Netz 192.168.178.0/24 zur Verfügung, dann kriegt die ccd einen Eintrag "iroute 192.168.178.0 255.255.255.0".

Über die geeignete Kombination aus iroute und push route kannst du auch dafür sorgen, dass die Clients ihre Netze gegenseitig erreichen können.

Alles anzeigen

Vielen Dank für deine Antwort. Vielleicht zunächst noch einmal das Setup etwas sauberer aufbereitet:

Es gibt zwei Standorte:

- Standort A: Heimisches LAN mit Fritzbox, dahinter diverse Endpoints (derzeit kein VPN-Server). Das Subnet folgt dem Router, sagen wir 192.168.1.0/24 (das ist es nicht!).

- Standort B: Netcup VLAN, dahinter derzeit zwei VPS. Diese habe auf der zweiten Netzwerkkarte jeweils das gleiche Subnet, sagen wir 100.100.1.1 und 100.100.1.2.

Auf einem der VPS ist Ubuntu mit OpenVPN Access Server eingerichtet.

Von Standort A kann ich auf Standort B zugreifen, aber nicht umgekehrt.

Was ich bisher gemacht habe:

- Im OpenVPN Access Server unter "VPN Settings" das Subnet von Standort B eingetragen.

- Unter "User Permissions" dasselbe bei "Allow Access" eingetragen und alles angehakt.

- Zudem dort unter "VPN Gateway" das Subnet von Standort A eingetragen.

- Testweise (da ich das Site to Site Routing-Szenario noch nicht so ganz verstehe) auf der Fritzbox eine statische Route mit dem OpenVPN Netzwerk und der Fritzbox als Gateway eingetragen. Das war wahrscheinlich völliger Unsinn.

Die Frage ist, was jetzt der nächste Schritt ist.

Vielen Dank für die Antwort. Das klingt interessant. Hast du das über netcup als Site-to-Site am laufen? Das ist ja dann aber jeweils point to point, so ich das bisher lese? Muss dann auf jedem Endgerät doch wieder ein Client installiert werden? Kannst du beschreiben, wie das - im Gegensatz zu herkömmlichem VPN - funktioniert?

Hallo,

ich habe mich nun für mein Site-to-Site VPN-Setup noch einmal an OpenVPN herangetraut. Der Zugriff auf das Access-Server-Netzwerk vom Client funktioniert auch (VLAN ist erreichbar). Allerdings bin ich nicht ganz sicher, wie ich nun alles für das Gateway benötige. Ich scheitere schon daran, wo ich in diesem Szenario die Routen eintragen muss. Und was ist das "Gateway" der Route? Ich habe hier ja keinen klassischen Router auf netcup-Seite. Ich habe ja nun zwei Netzwerkkarten am Access Server Host - dort eintragen?. Und was ist mit den anderen Hosts im VLAN?

Ziel ist, dass das netcup VLAN (hier ist der Access Server) das clientseitige LAN erreichen kann.

Kann mir das jemand für dieses Szenario erklären?

https://openvpn.net/vpn-server-resources/site-to-site-routing-explained-in-detail/?_ga=2.254989249.85559496.1650893046-2033348984.1650893046

Vielen Dank.

Zitat von Exception

Man muss zwischen OpenVPN (VPN Software die unter GPL steht und kostenlos angeboten wird) und dem OpenVPN Access Server (bietet zusätzliche Features z.B. LDAP Anbindung sowie eine grafische Managment Oberfläche) unterscheiden. Letzteres ist kostenpflichtig, wobei eine VPN Verbindung gratis ist.

Ja, genau davon sprach ich. In einem Site-to-Site-Szenario benötigt man diese Lizenz.

Zitat von AutoYaST

Ich muss leider bezweifeln, dass du über die nötigen Lizenzen verfügst, Windows auf Cloud Servern betreiben zu dürfen.

Das bestehende Netzwerk ist überwiegend ein Windows-Netzwerk. Die Server-Lizenzen sind Uni-Lizenzen. Es geht hier mehr um Learning by doing als um "produktiven" Einsatz. Vielleicht auch, um die Sicherheitsbedenken etwas auszuräumen.

Danke für die Antwort.

Vielleicht sollte ich dazu sagen, dass in dem Szenario auch Clients von remote ins Netzwerk kommen müssen. Es wäre also auch ein Access Server erforderlich. Den könnte ich zur Not auch separat bereitstellen, aber muss ja nicht sein.

Bei Wireguard muss ich doch jedes Peer separat aufsetzen, also für jeden Client? Geht das dann auch im Sinne von Site to site, sodass Zugriff aufs ganze Netzwerk und vom ganzen Netzwerk da ist? Bin am Routing bei meinem Versuch damit dann auch mal gescheitert und habe es damit aufgegeben.

OpenVPN hatte ich schon am laufen, aber sobald man eine Lizenzierung braucht (was bei Site to Site der Fall ist) benötigt man gleich 10 Lizenzen und das sind dann 750 EUR oder so im Jahr.

Ich suche nach einer möglichst einfachen, aber zumindest kostengünstigen Losung.

Ja, es handelt sich fast ausschließlich um ein Windows Netzwerk.

Wäre pfsense hier eine Option? Habe mich damit noch nicht beschäftigt.

Hallo,

ich habe auch Zuhause ein Netzwerk mit internen Servern sowie Active Directory. Ich würde gerne (mindestens als Übergangslösung, aber evtl. auch dauerhaft, z.B. für Backups) ein Site to Site VPN einrichten. OpenVPN Inc. ist da keine Lösung, weil die Lizenzierung ein Witz ist. Mit anderen Lösungen hatte ich bisher Probleme, da ich nun alles andere als Experte auf dem Gebiet bin. Die Möglichkeit, das direkt als VM einzusetzen macht es für mich unkomplizierter und mit Veeam habe ich schon gute Erfahrungen.

Ich bin aber auch für Vorschläge offen. Es sollte kein Linux-Know-How erforderlich sein, d.h. mit einer GUI zu arbeiten sein.

Guten Abend,

weiß jemand, ob ich Veeam PN auch auf einem VPS zum Funktionieren bekommen kann, sodass über vLAN dann letztlich das Netcup Remote-Netzwerk hierüber erreichbar sein wird?

Viele Grüße

Dann werde ich mich wohl nach einem komplett anderen Hoster umschauen müssen. Es sei denn, ich bekomme das hier auch mittels VPS zum Laufen.

https://helpcenter.veeam.com/docs/veeampn/userguide/configure_gateway.html?ver=21

Ich bin nicht sicher, ob Vmware hier wirklich harte Systemvoraussetzung oder eher ein Beispiel ist.

Zitat von aRaphael

Nested virtualization wird hier bei netcup nicht funktionieren.

(Auch die RS hier sind ja KVM-Instanzen)

VMWare-ESXi wirst du auf einem echten Blech installieren müssen.

Heißt das im Ergebnis, dass auf den RS nur ein OS laufen kann, also keinerlei Virtualisierung möglich ist? Was ist dann denn der Vorteil der RS zu den VPS? Das war ja gerade der Sinn meiner Bestellung...

Hallo,

ich versuche gerade, auf meinem Root-Server ESXi (VMWare) zu installieren. Leider kommt die Fehlermeldung "No network adapters were detected [...]". Ich habe sowohl "virtio" als auch "e1000" versucht. Muss ich hier irgendetwas beachten?

Viele Grüße

Denkt ihr, es wird demnächst auch wieder preislich reduzierte Angebote für die RS geben? Ich zögere, den RS Ostern M OST22 zu kaufen. Der Speicherplatz ist nice to have, aber wahrscheinlich für mich nicht notwendig.

Zitat von Lexxa

Doch der Preis, mein normaler kostet monatlich mit Standort Wien 72 Euro, wollte deshalb einen aus der Aktion hier, aber die rücken keinen raus.

Habe die durcheinander gebracht. Meinte den RS Ostern M OST22.

Zitat von engine

Herr, ich habe gesündigt. Beim RS Eggspert OST22 musste ich einfach zuschlagen.

Bis auf die größere Speicherkapazität ist hier doch kein Vorteil zum normalen Angebot?

Zitat von RAD750

so, bis jetzt hab ich nur domains und webhosting gefunden lol

Es gibt zwar auch vereinzelt Server-Angebote, aber die sind offenbar nicht einmal gut.

Zitat von hase

Der RS M versteckt sich gerade auf der Über uns Seite.

Aber bei allen:
Automatische Standort Auswahl

Den habe ich jetzt auch gesehen. Bis auf die größere Festplatte ist der aber doch wie der RS 2000.G9? Dachte, da ist bisschen mehr drin...

Zitat von mlohr

Ich hab tatsächlich bisher kein einziges Server-Ei gesehen, weder vServer noch root.... Obs den neuesten kleinsten VPS irgendwo gibt?

Geht mir auch so, nur Domains, VLAN, Webhosting und Merchandise.

Zitat von [netcup] Lars S.

Hallo Antijurist, ich konnte soeben auf diversen Unterseiten von netcup.de Ostereier finden, daher verstehe ich die Frage nicht ganz. Beachte bitte: Aus Fairness-Gründen ist die Ostereiersuche nur in der Desktop-Version der Webseite und auf größeren Tablets möglich. Auf kleineren Geräten werden keine Eier angezeigt.

Jetzt sieht man wieder welche. Vorher war es leer, nachdem es bereits vor 8 Uhr welche gab.

Zitat von [netcup] Lars S.

Viel Spaß bei der Ostereiersuche wünsche ich euch allen

Gibt es jetzt keine Ostereier mehr? Man kann ja nicht die ganze Zeit vor dem PC sitzen und immer wieder die Seiten klicken. Ein wenig Eingrenzung wäre hier schon schön.