Fritzbox 4040 openwrt und Openvpn Nordvpn und Einwahl von außen über openvpn client ...

[tcash]

Bei mir zu Hause werkelt eine Fritzbox 7490 DSL mit der IP Adresse 192.20.20.1/24

Dazu habe ich noch einen openvpn Client genutzt, um mich bei Bedarf von außen über dyndns und Portweiterleitung (Port 10000) auf einen Raspberry Openvpn Server 192.20.20.33 ins Heimnetz einzuwählen.

Jetzt habe ich eine Erweiterung in meinen Heimnetzwerk vorgenommen, mit einer Fritzbox 4040 192.20.22.1/24 mit openwrt.
Über wan 192.20.20.11 an die Fritzbox 7490 angeschlossen.
An der 7490 eine statische IP4 Route eingetragen


IP4 Netzwerk: 192.20.22.0
Subnetzmaske: 255.255.255.0
Gateway: 192.20.20.11


Den alten Openvpn Server (Raspberry) mit einer neuen IP Adresse 192.20.22.33 in das neue Fritzbox 4040 Netzwerk verlegt


An der Fritzbox 4040 ein Firewall-Port Forwards eingetragen

Protokoll: udp
Source zone: wan
external port: 10000
Destination zone: lan
Internal IP address: 192.20.22.33

Openvpn funktioniert.


Jetzt noch Openvpn/Nordvpn einrichten, nach folgender Anleitung https://support.nordvpn.com/Connectivit ... ordVPN.htm


Anbei die Konfiguration


/etc/config/network

config interface 'lan'
option ifname 'eth0'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.20.22.1'
option type 'bridge'

config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'
option force_link '1'
option peerdns '0'
list dns '103.86.96.100'
list dns '103.86.99.100'
list dns '192.20.20.1'

config interface 'nordvpntun'
option proto 'none'
option ifname 'tun0'



/etc/config/openvpn

config openvpn 'nordvpn'
option config '/etc/openvpn/nordvpn_udp_germany.ovpn' option enabled '1'

etc/config/firewall

config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option synflood_protect '1'

config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'

config zone
option name 'wan'
option output 'ACCEPT'
option mtu_fix '1'
option input 'ACCEPT'
option forward 'ACCEPT'
list network 'wan'

config zone
option name 'vpnfirewall'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'nordvpntun'

config forwarding
option src 'lan'
option dest 'vpnfirewall'

Wenn ich jetzt openvpn starte, dann funktioniert der Nordvpn Tunnel tadellos. Alle Clients, die sich im 192.20.22.0 Netz befinden, surfen jetzt über den Nordvpn Tunnel. Jetzt habe ich aber folgendes Problem, ich kann mich nicht mehr von außen einwählen. Ich stehe laut Log (externer openvpn Client) vor der öffentlichen Adresse der Fritzbox 7490. Wenn ich jetzt auf der Fritzbox 4040 den NordVPN Tunnel wieder deaktiviere, dann kann ich mich auch wieder Problemlos von außen über openvpn Client einwählen.
Ich komme nicht mehr weiter, mache ich einen Denkfehler und geht das gar nicht, den Nordvpn Tunnel und das ich mich gleichzeitig von außen noch einwählen kann? Danke schon im Voraus

 

[chr1zZo]

Wieder so einer, der für solchen Dienste wie NordVPN Geld raus wirft xD. Denken denn alle man ist darüber Sicher? Lieber ne kleine Hardware Firewall hin bauen!

Und ja, wenn du von außen drauf willst, stehst du vor deiner Fritte und deren öffentlicher IP, und nicht vor NordVPN!

Was du willst, wäre ein direkter Tunnel!

 

[tcash]

Ich möchte, das alle Clients bei mir über den Nordvpn Tunnel surfen, das klappt ja auch relativ gut, kann man an der vergebenen Proxy Adresse von Nordvpn sehen. Ich möchte aber auch noch bei Bedarf, mich auf den eigenen openvpn Server von außen einwählen, dass klappt aber nicht mehr, sofern der Nordvpn Tunnel aktiviert ist.

 

[chrigu]

bei Selber ip adresse zweier Netzwerke wird immer im eigenen Netzwerk gesucht, nicht im VPN Netzwerk.

wobei ich auch nicht verstehe, wieso man ein in Panama ansässige Firma mehr vertraut als ein deutscher Provider. Besonders wenn hier in der eu Datenschutzrichtlinie existieren und in Panama darauf gesch….ssen wird und deine Daten lukrativ weiter verkauft werden.

 

[till69]

IP4 Netzwerk: 192.20.22.0

Gar keine gute Idee

https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche

Und dann noch:

https://gist.github.com/joepie91/5a9909939e6ce7d09e29

 

[Raijin]

Ich möchte aber auch noch bei Bedarf, mich auf den eigenen openvpn Server von außen einwählen, dass klappt aber nicht mehr, sofern der Nordvpn Tunnel aktiviert ist.

Das ist nachvollziehbar. Wenn du einen VPN-Dienst fest ins Netzwerk einbaust, so dass sämtlicher Traffic über den VPN-Anbieter läuft, dem du ja wirklich sehr viel Vertrauen schenken musst, dann gilt dies auch für etwaige Antwort-Pakete, wenn du von außen auf deine öffentliche IP-Adresse zugreifst.

Heißt: Du wählst dich von außen auf deine öffentliche IP ein, der VPN-Server daheim möchte antworten, die Antwort geht per "VPN-Default-Gateway" zu NordVPN und kommt dann bei dir von einer vollkommen anderen öffentliche IP-Adresse wieder an.

Entweder überdenkst du dein "Alles-über-VPN-Anbieter"-Setup oder aber du richtest das Routing so ein, dass Traffic von/zu deinem OpenVPN-Server daheim explizit NICHT über den VPN-Anbieter ins Internet geht. Das nennt sich "Policy based routing" und beschreibt eine Technik, bei der das Routing nicht anhand der Ziel-IP-Adresse bestimmt wird, sondern anhand anderer Kriterien, zB Quell-IP (=OpenVPN-Server) oder auch Quell- bzw. Ziel-Port (zB UDP 1194).


Wie auch immer, ich empfehle dir, die Lektüre von @till69 's Links. Zum einen der technische Part bezüglich deiner schlecht gewählten Subnetze und dann vor allem den zweiten Link, der dir die Augen öffnet was VPN kann und was es nicht kann.

 

[tcash]

Danke für die Tipps nach einer längeren Pause, will ich mich damit nochmal beschäftigen