openVPN auf DD-WRT hinter Fritzbox -> ein Netzwerk

robotronn

Newbie
Registriert
Juni 2019
Beiträge
6
Guten Mittag allerseits,
betreibe einen wrt1200ac mit DD-WRT auf den ein open VPN client läuft hinter einer Fritzbox.
Beide Router haben ein eigenes WLAN und alles funktioniert auch soweit es soll.
Nun möchte ich allerdings wenn ich im WLAN der Fritzbox eingeloggt bin auf das des DD-WRT Routers zugreifen können da an diesem eine externe USB Festplatte hängt.
Idee: Beides ins gleiche Subnetz bringen, dem DD-WRT Router eine Feste IP Adresse geben und DHCP auf diesem deaktivieren.
Funktioniert aber nicht, bitte um Hilfe.
Danke :-)
 
WAS funktioniert nicht?

"Mein Auto springt nicht an, ich hatte die Idee die Motorhaube zu öffnen. Funktioniert nicht, helft mir!"
;)
Lg
 
An welchem Port hast du den WRT1200AC an die FB angeschlossen ?
Etwa über den WAN Port ?
Wenn ja:
- dann entweder den WAN Port zum LAN-Port machen
oder
- das Netzwerkkabel in einen freien LAN-Port klemmen.

Dann klappt auch
Idee: Beides ins gleiche Subnetz bringen, dem DD-WRT Router eine Feste IP Adresse geben und DHCP auf diesem deaktivieren...
 
  • Gefällt mir
Reaktionen: robotronn
Bin davon ausgegangen, dass mein Ansatz falsch ist, da ich keinen Zugriff vom FritzBox Netz auf die Festplatte habe.
Ergänzung ()

meph!sto schrieb:
An welchem Port hast du den WRT1200AC an die FB angeschlossen ?
Etwa über den WAN Port ?
Wenn ja:
- dann entweder den WAN Port zum LAN-Port machen
oder
- das Netzwerkkabel in einen freien LAN-Port klemmen.

Dann klappt auch

Richtig, der WAN Port des DD-WRT Routers hängt an einen der LAN Ports der Fritzbox.
Danke für den Hinweis, werdees umgehend testen.
Ergänzung ()

@meph!sto
Danke, jetzt funktioniert alles :-)!
Ergänzung ()

und noch ein edit:
So funktioniert es doch nicht.
Falls ich mich nun ins WLAN des DD-WRT Routers einlogge, dann bin ich nicht mehr in einem seperaten Netzwerk, dass der router über openvpn erstellt.
Neuer Ansatz:

Zwei separate Netzwerke über die routing Einstellungen der Fritzbox verbinden?
 
Zuletzt bearbeitet:
Versteh ich das richtig? Der WRT baut für das WLAN ein openVPN zur Fritzbox auf?
Und diese USB Festplatte hängt am WRT und stellt eine Ressource dar die im OpenVPN Netz erreichbar ist ?
Und jetzt soll man aus dem 'Heim'-Netz(FritzBox) auf die Ressource im 'VPN'-Netz(WRT) zugreifen ?
 
Ich finde die Informationen, die du uns bisher gegeben hast, wirklich mehr als mager ^^.

Wie sieht denn dein Netzwerk aus?

Für mein bisheriges Verständnis sollte dein Netzwerk so aussehen:

FritzBox (z.B. 192.168.178.1/24) ---- 192.168.178.2/24 (WAN-Port) WRT1200AC-Router --- 192.168.1.1/24 LAN-Netz des WRT1200AC (z.B. 192.168.1.0/24)

Bitte die Angaben korrigieren, die nicht stimmen.

Du möchtest also aus dem Netz 192.168.178.0/24 (das Netz der FritzBox) auf das LAN-Netz des WRT1200AC-Routers (z.B. 192.168.1.0/24) zugreifen!?

Dafür musst du der FritzBox "sagen" wie sie das Netz 192.168.1.0/24 erreichen kann,
also die Routingtaballe der FritzBox entsprechend anpassen.

Dafür musst du unter "Heimnetz" --> "Netzwerk" --> "Netzwerkeinstellungen" --> "IPv4-Routen"
eine neue Route erstellen für das LAN-Netz des WRT1200AC (also z.B. für das 192.168.1.0/24-Netz),
wo du als Gateway die WAN-IP-Adresse des WRT1200AC angibst. Nicht vergessen die Route zu speichern.

Zusätzlich musst du dem WRT1200AC noch "sagen",
dass er den Traffic des FritzBox-Netzes auch weiterleiten (forwarden) soll.

Das kann man per iptables-Regeln machen, siehe dazu folgender Link:
https://wiki.dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes

Eine Regel wie z.B. folgende müsstest du also auf dem WRT1200AC erstellen:
iptables -I FORWARD -s 192.168.178.0/24 -j ACCEPT (Netz-Angabe entsprechend anpassen,
falls in deiner FritzBox nicht das Standard-Netz eingestellt ist)
 
Hey Datax,
Das Netzwerk sieht so aus wie du es verstanden hast und ich bin wie von dir beschrieben vorgegangen.

folgend einige screenshots:
794547


794549


794550


Nun habe ich zugriff vom DD-WRT Router auf das FritzBox Netz aber nicht anders rum.
Muss unter Advanced Routing ebenfalls etwas eingestellt werden oder reichen die Regeln?

794552


Danke für die Hilfe!
 
Siehe DD Wrt Forum

Destination LAN NET Subnet Mask Gateway Interface
192.168.1.0 255.255.255.0 0.0.0.0 LAN & WLAN
192.168.178.0 255.255.255.0 0.0.0.0 WAN
169.254.0.0 255.255.0.0 0.0.0.0 LAN & WLAN
0.0.0.0 0.0.0.0 192.168.178.1 WAN

Da wurde erwähnt die Firewall komplett abzuschalten
 
Hey hellobello25,
mit den settings habe ich tatsächlich Zugriff auf die Festplatte, allerdings keine Internetverbindung mehr über das DD-WRT Netz.
 
Ich blicke nicht ganz durch, was da was ist.

Wenn du doch beide Router ins gleiche Subnetz hängen willst, warum gibt es dann 192.168.1.x und 192.168.178.x? Das sind verschiedene Netze...
 
Wenn den wieder auf Gateway umstellst was passiert dann

Vielleicht war ja nur die Firewall das Problem

Die Firewall Blockt doch Private Netzwerke am Wan Port
Bzw kommt es darauf an welche regel zuerst greift...
Wenn durch die DD Wrt Regel deine regel aufgehoben wird.. weil die Vorrangig behandelt wird



Naja meine Ahnung ist auch sehr begrenzt

Ahja erst jetzt gesehen der im DD Wrt Forum nutzt den nur als AP nicht als Router
"Choose the correct working mode. Keep the default setting, Gateway, if the router is hosting your network's connection to the Internet. Select router if the router exists on a network with other routers. In Gateway mode the router performs NAT, while in other modes it doesn't."

Könnte interessant sein
https://wiki.dd-wrt.com/wiki/index.php/Linking_Subnets_with_Static_Routes
 
Zuletzt bearbeitet von einem Moderator:
robotronn schrieb:
Hey Datax,
Das Netzwerk sieht so aus wie du es verstanden hast und ich bin wie von dir beschrieben vorgegangen.

folgend einige screenshots:
Anhang anzeigen 794547

Anhang anzeigen 794549

Anhang anzeigen 794550

Nun habe ich zugriff vom DD-WRT Router auf das FritzBox Netz aber nicht anders rum.
Muss unter Advanced Routing ebenfalls etwas eingestellt werden oder reichen die Regeln?

Anhang anzeigen 794552

Danke für die Hilfe!

Ja, okay.

Stell' mal den "Operating Mode" auf "Router" um.

Wenn du das gemacht hast, dann auf dem Reiter "Security" die SPI-Firewall ausschalten.

Das ist der erste Punkt, also ganz oben (SPI Firewall auf "Disable" umstellen).
 
Ich vermute mal der wrt1200 soll als VPN-Gateway dienen. Wenn man sich in dessen WLAN einloggt, bekommt man eine IP aus dem wrt1200-Subnetz und der wrt1200 ist dann auch das Standard-Gateway. Die Folge ist, dass jedes Gerät, das sich via WLAN am wrt1200 anmeldet oder an dessen LAN-Ports hängt, via DHCP den wrt1200 als Gateway bekommt und somit über dessen VPN-Verbindung online ist. Alle Geräte, die hingegen im WLAN der Fritzbox sind oder an einem dieser LAN-Ports hängt, geht ohne VPN direkt über die Fritzbox online.

Das ist vermutlich die Idee dahinter. Allerdings halte ich so ein Setup für wenig sinnvoll. Zum einen handelt man sich damit unter Umständen Routing- oder auch Firewall-Probleme ein, weil man zwei Subnetze im Netzwerk hat und nicht weiß wie man damit umgeht, wie es nu hier der Fall ist. Die in meinen Augen sinnvollere Variante sähe so aus:

  • Die statischen Routen ins wrt1200-Subnetz fliegen aus der Fritzox raus
  • Der wrt1200 wird nicht via WAN- sondern via LAN-Port an die Fritzbox angeschlossen
  • Der DHCP im wrt1200 wird ausgeschaltet und er bekommt eine LAN-IP aus dem Fritzbox-Subnetz
  • Die SSID des wrt1200 wird der Fritzbox-SSID angeglichen und somit fungiert der wrt1200 als AP (optional)
  • Der DHCP-Server der Fritzbox wird so eingestellt, dass er als Standard-Gateway jenes ausgibt, das standardmäßig für alle 08/15 Geräte gelten soll - entweder die Fritzbox-IP für Internet ohne VPN oder die wrt1200-IP für Internet mit VPN
  • Alle Geräte, die die Standard-Verbindung nutzen sollen (siehe voriger Schritt), beziehen ihre IP via DHCP und gehen zB standardmäßig ohne VPN online (GW=Fritzbox)
  • Alle Geräte, die explizit den anderen Verbindungsweg gehen sollen, bekommen eine manuelle IP + manuelles Gateway, zB die IP des wrt1200 für Internet mit VPN


Wenn man das so macht, kann man zB dem Internetradio und sonstigen 08/15 Geräten einfach via DHCP die Fritzbox als Gateway verpassen und sie haben "normales" Internet. Wenn man aber zB die Netflix-App am TV explizit über VPN nutzen möchte, stellt man im Menü des TV einfach eine statische IP aus dem Fritzbox-Subnetz ein (gibt ja nur noch ein Subnetz) und als Gateway nimmt man die IP des wrt1200. So kann man gezielt nur die Geräte über VPN schicken, die man da auch haben will.

Natürlich kann man das auch umdrehen und allen DHCP-Geräten automatisch die wrt1200er IP als Gateway mitgeben und sie über VPN schicken. Alle Geräte, bei denen VPN nicht relevant ist, stellt man dann manuell ein mit der Fritzbox-IP als Gateway.

Ich würde jedoch den erstgenannten Weg gehen und DHCP-Standard=Fritzbox nehmen, weil man VPN grundsätzlich gezielt einsetzen sollte und nicht allgemeingültig. Sonst kann es eben passieren, dass man ungewollt in VPN-Sperren reinläuft, wenn man zB Online-Banking macht oder auch in einem Online-Shop einkaufen möchte, der einschlägig bekannte VPNs blockt.
 
  • Gefällt mir
Reaktionen: robotronn und Bob.Dig
Ist das denn bei einem Router mit dd-wrt als Firmware möglich,
dass der OpenVPN-Client über die LAN-IP die VPN-Verbindung aufbaut?

In den Anleitungen, die ich bisher gesehen habe,
wird bei der Einrichtung des dd-wrt-Routers zur Verwendung des OpenVPN-Clients auch
immer die WAN-Schnittstelle konfiguriert.

Hier ein Beispiel dazu:
https://www.comparitech.com/vpn/install-openvpn-dd-wrt-router/

Und hier noch ein Beispiel zur Einrichtung von Cyberghost-VPN:
https://support.cyberghostvpn.com/hc/de/articles/213811885-Router-OpenVPN-für-DD-WRT-geflashte-Router-konfigurieren

In beiden Anleitungen wird die WAN-Schnittstelle verwendet (IP-Einstellungen in diesen beiden Fällen per DHCP bezogen). Kann es sein, dass der OpenVPN-Client die VPN-Verbindung immer über die WAN-IP aufbaut?

Habe es selbst bisher bei einem dd-wrt-Router noch nicht gemacht,
daher die Frage in den Raum geworfen.
 

Anhänge

  • dd-wrt_network_setup.jpg
    dd-wrt_network_setup.jpg
    90,9 KB · Aufrufe: 456
  • cyberghost_network_setup.JPG
    cyberghost_network_setup.JPG
    120,1 KB · Aufrufe: 417
Zuletzt bearbeitet:
@Raijin In welchem Betriebsmodus ist denn der wrt1200 zu betreiben, weiterhin "Router"?
Ergänzung ()

Bin gespannt, ob es funktioniert. 😉
 
Ich bin kein Freund von diesen Pseudo-Betriebsmodi. Da wird im Hintergrund dann ein für Außenstehende unbekanntes Profil an Einstellungen vorgeladen. Der Klassiker sind zB Asus-Router, die im "AP-Modus" auf magische Art und Weise die VPN-Fähigkeiten "verlieren".

Aus dem Stegreif kann ich nicht einschätzen ob man DD-WRT dann auf Router oder Gateway schalten sollte. Ich hatte gehofft, dass da ein AP-Modus dabei wäre. Die eigentliche Routing-Funktion kann man ja prinzipiell dann manuell mit iptables, etc. herstellen.
 
Zurück
Oben