OpenWRT als VPN Client Remote Zugriff

[cool18]

Moin Leute,

vielleicht wisst ihr weiter.
Aktuell habe ich zwei TP-Link C7 AC1750 dort läuft OpenWRT drauf. Die Router strahlen zwei WLAN Netzwerke aus
einmal wird das Normale Netzwerk der Location nochmal Ausgespielt und das andere Netzwerk wird über ein Wireguard VPN nach Schweden zu meinen Server getunnelt und geht von dort aus in Internet.

Jetzt möchte ich einen Remote Zugriff auf diese beiden Router, die VPN Verbindung ist ja bereits aufgebaut zu meinen Server. Ich kann mich auch damit Verbinden und kann die Router auch Anpingen, nur der Zugriff aufs Webinterface wird mit Verweigert klar die Firewall Einstellungen stimmen ja nicht.

Der VPN Tunnel läuft in OpenWRT in der Firewall Zone WAN und diese hat ja kein zugriff auf Firewall Zone LAN was ja auch so richtig ist.

Ich möchte aber den Zugriff über die Wiregard Schnittstelle auf das LAN haben um ans Webinterface zu kommen. Wie mache ich das am besten? Firewall ist noch auf Default Settings mit Rumprobieren hat es noch nicht Funktioniert.

OpenWRT bietet diese möglichkeit auf jeden fall mein Kleiner GL.iNet Mango macht genau das. Greift man über den VPN Server auf die IP Adresse vom VPN Client zu bekommt man zugriff auf das Webinterface. Und genau das möchte ich jetzt auch haben mit meinen beiden Routern. So das ich ein Remote Zugriff drauf habe

 

[Uridium]

Ich möchte aber den Zugriff über die Wiregard Schnittstelle auf das LAN haben um ans Webinterface zu kommen.

Willst Du Vollzugriff auf das LAN oder reicht das Webinterface? Letzteres ist einfacher. Bei ersterem muss man u.a. beachten, dass die Netze (Server/Client) nicht die gleichen Adressen haben (z.B. 192.168.1.0/24).

Für Vollzugriff weise dem VPN Interface eine eigene Firewallzone zu und erlaube 'Forwarding' in die LAN-Zone.
Wenn nur Zugriff auf das Webinterface gebraucht wird, kannst Du in der Konfiguration des Webservers das VPN Interface eintragen. Dann "lauscht" er auch dort.

 

[cool18]

Ich brauche nur per Remote Zugriff aufs Webinterface

 

[Uridium]

1) Ich habe oben noch etwas ergänzt. Wenn nur das Webinterface gebraucht wird, könntest Du schauen, welchen Webserver Du hast (z.B. mit 'ss -lntup' -> Port 80 und 443). Dann die /etc/config/<webserver>' Konfigdatei editieren und das VPN Interface hinzufügen, damit auch dort "gelauscht" wird.

Ich habe z.B. nginx und die Ports lauschen bereits auf allen Interfaces (*:80, *:443).

# ss -lntup
tcp        LISTEN      0           0                                          *:443                         *:*          users:(("nginx",pid=4913,fd=4),("nginx",pid=4912,fd=4),("nginx",pid=4911,fd=4),("nginx",pid=4909,fd=4),("nginx",pid=4885,fd=4))
tcp        LISTEN      0           0                                          *:80                          *:*          users:(("nginx",pid=4913,fd=6),("nginx",pid=4912,fd=6),("nginx",pid=4911,fd=6),("nginx",pid=4909,fd=6),("nginx",pid=4885,fd=6))

2) Alternativ könntest Du auch eine Portweiterleitung erstellen, die einen Port vom VPN ins LAN weiterleitet.

Beispiel:
192.168.30.1 ist der Wireguard Server (mit eigener 'Wireguard' Firewallzone) und 192.168.1.1 ist das LAN, bzw. der OpenWrt Server, auf dem der Webserver/LuCI läuft. Ein Client (z.B. 192.168.30.2) könnte dann mit https://192.168.30.1 auf das Webinterface zugreifen. Ohne SSL (http) braucht es eine weitere Weiterleitung, sofern benötigt.

Network/Firewall/Port Forwards:

3) Vollzugriff auf das LAN könnte so aussehen (und auch anders herum LAN->Wireguard):
Network/Firewall:

 

[cool18]

Ok, ich habe ja keine Firewall Zone fürs Wireguard, heißt ich müsste diese ja erstmal Anlegen. Aktuell läuft es in der Firewall Zone von WAN