Mehrere VPN hintereinander

[derocco]

Ich nutze für meine Arbeit mehrere VPN hintereinander. Cisco any connect und SonicWall.
Das funktioniert auch soweit.
Jetzt habe ich noch einen openvpn vorgeschaltet. Der funktioniert auch aber die Kette dahinter geht jetzt nicht mehr.
Sprich es wird mir IP vom Openvpn Endpoint angezeigt, aber ich komme nicht mehr ins netz vom anyconnect oder sony wall.

Ich sehe bei AnyConnect ein "Roaming Security" Error wenn der openVPN vorgeschaltet ist und nehme an es liegt daran.
Kennt jemand das Problem?

client
dev tun
proto udp
remote xxx.myhome.de 195
resolv-retry infinite
nobind
remote-cert-tls server
tls-version-min 1.2
verify-x509-name rasvpnerry_XXXXXXXXXX name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3
redirect-gateway def1
<ca>

ggf ein Problem weil ich den Openvpn nicht auf dem port 1194 laufen lasse?

Portforward im Router vor dem Openvpn scheint ja schon zu klappen sonst würde ich ja nicht wieder in Netz rauskommen.

 

[xxMuahdibxx]

gibt es einen Sinn dahinter das mehrere VPN´s "hintereinander" genutzt werden müssen ?

Soll das irgendeine Sicherheit erzeugen?

 

[SoDaTierchen]

Prüfe zuerst, ob sich das Netzwerktopologisch ausgeht. Also ob du die Verschachtelung korrekt anwendest und dass du keine IP-Dopplungen erhältst. Der abweichende Standard-Port ist kein Problem.

Für genauere Hilfe müsste die Topologie etwas klarer erläutert werden. Denn "hintereinander" gibt es bei VPN nicht.

 

[S.Kara]

Ich sehe den Sinn dahinter auch nicht. Wer drauf steht: Manche VPN-Anbieter haben eine Cascading/Multi-Hop Funkton. Dadurch kann man seinen Traffic über mehrere ausgewählte Server leiten. Perfect Privacy unterstützt das zB.

 

[-Overlord-]

Gibt schon einen Sinn dahinter, mache ich auch oft. Sei es um die Sicherheit zu erhöhen, Adressen zu verschleiern oder weil man Zugriffe auf verschiedene Systeme benötigt.

Tor arbeitet ja nach einem fast ähnlichen Prinzip

 

[xxMuahdibxx]

welche Sicherheit erhöhen ?

Die gefühlte oder die Reale ?

 

[M-X]

Vielleicht kannst du beschreiben wofür das Szenario genutzt wird. Ich kann mir noch nicht so ganz erklären wofür das gut ist.

@-Overlord- TOR arbeitet auch mit mehreren hops, da enden die Gemeinsamkeiten aber auch. Das wäre wie zu sagen ich Fahre mit meiner Kutsche jetzt auf der Autobahn, das machen Autos ja auch so.

 

[PHuV]

Wenn, dann verwende ich indirekt mehrere VPNs, indem ich von Jumphost zu Jumphost springe, und der dann wiederum irgendwie per VPN sich irgendwo hintunneln muß. Das kann ja beliebig oft passieren, und hat man auf dem jeweiligen Jumphost die VPN Umgebung. 1:1 Durchtunneln bis zum Endpunkt ist dann aber nicht möglich, da hier auch verschieden IP-Ranges verwendet werden, die durchaus dann bei gleichen privaten IPs zu Problemen führen könnten.

 

[derocco]

Also Cisco VPN -> Für in die Firma
Dann Sonic Wall für ins Kundennetzwerk.

Weil ich häufig aus verschiedenen Lokationen arbeite möchte ich dass ich ab beginn immer mit der selben IP einsteigen (meine IP zuhause) Da hängt ein Raspi am Glasfaser der soll allen traffic erst darüber laufen, so dass den dahinter liegenden Devices immer vorgegaukelt wird ich sitze zuhause

 

[xxMuahdibxx]

Der Erklärte Umstand ist ja indirekt das was @PHuV sagt ... dann versteht man das ganze auch ...

 

[derocco]

es muss wohl eher an den Raspi settings liegen.
Ich habe gerade ein NordVPN openVPN profil getestet und damit funktioniert der zugriff auf alle Netze

Al unterschied erkenne ich dass der Raspi 10.8.0.x vergibt und beim Nord erhält man 10.8.1.x

Könnte ggf damit zusammenhhängen, dass 10.8.0.x sich mit dem Cisco VPN überschneiden würde? (ich weiss da nichts genaueres über den Aufbau)

 

[M-X]

Da scheint es vermutlich einen Konflikte der ganzen Internen Adressen zu geben.

so dass den dahinter liegenden Devices immer vorgegaukelt wird ich sitze zuhause

Da du von Arbeit sprichst hast du das vermutlich mit deinem Arbeitgeber so abgestimmt ? Spätestens wenn du das aus dem Ausland machst kann das richtig Probleme geben wenn das nicht geklärt wurde.

 

[derocco]

Da scheint es vermutlich einen Konflikte der ganzen Internen Adressen zu geben.


Da du von Arbeit sprichst hast du das vermutlich mit deinem Arbeitgeber so abgestimmt ? Spätestens wenn du das aus dem Ausland machst kann das richtig Probleme geben wenn das nicht geklärt wurde.

Da sprechen wir aber ggf von jur. problemen nicht technischen.
Das passt so schon.

 

[PHuV]

Da sprechen wir aber ggf von jur. problemen nicht technischen.
Das passt so schon.

Nicht so ganz, insbesondere wenn mit Fremdfirmen SLAs vorhanden sind, die Du vielleicht nicht kennst. Daher explizit schriftlich die Genehmigung der verantwortlichen Stellen einholen. Es gibt nicht ohne Grund Länder- wie Standortbeschränkungen.

 

[derocco]

wie gesagt das ist aber jetz nicht das Thema. Wie krige ich den OPenVPN Server dazu 10.8.1 er IPS zuvergeben statt 10.8.0 für dei VPN clients.

server.conf hat das hinterlegt aber wenn ich da ändere. dann versucht der client doch auf 10.8.0

 

[M-X]

Hast du dem Client eine fest IP aus deiner Range gegeben? https://openvpn.net/vpn-server-resources/assigning-a-static-vpn-client-ip-address-to-a-user/

 

[derocco]

ich habe das via pivpn setzten lassen. Aktuell habe ich kein web gui installiert auf dem pi. Müsste ich mal noch machen.

 

[M-X]

Joa da sind dann die Probleme wenn man so fertig Scripte nutzt. Wenn man abweicht von default weiß keiner wo was zu ändern ist. Die GUI ist nicht zwigend notwendig das sollte auch per console gehen.