VPN/Proxy-Verbindung funktioniert nicht

[Gargor]

Hallo zusammen,

trotz installiertem VPN-Proxy-Dienst, bekomme ich meine "normale" IP-Adresse bei WieistmeineIP angezeigt.
Mein Aufbau: Internet-Arcor Starter Box-Netgear Router-PC
Am Netgear Router hängt ein TP-Link WDR4300 Router (verbunden per Netzwerkkabel von LAN- zu LAN-Anschluß). Auf dem WDR4300 habe ich DD-WRT installiert und die VPN-Software. Lt. Client-Log habe ich: "Connected Success". Aber wenn ich meine IP-Adresse prüfe, bekomme ich die gleiche angezeigt, egal über welchen Router ich gehe.
Ich möchte beide Router nutzen, den Hauptrouter ohne VPN/Proxy und den WDR4300 für clients, die ausschließlich über den Proxy laufen sollen.
Noch ein paar Hinweise:
Netgear (Hauptrouter) DHCP: An / WDR4300 (VPN-Router) DHCP disabled.
Netgear LAN IP: 192.168.0.1 / WDR4300 LAN IP: 192.168.0.2
Netgear WAN IPv4: ? / WDR4300 WAN IP: 192.168.0.12
Mein Hauptproblem: Wie bekomme ich es hin, dass der Proxy-Dienst funktioniert?
Weitere Unklarheiten: Warum bekomme ich über die LAN IP keinen Zugriff auf den WDR4300, sondern nur über die WAN IP? (Der WDR4300 ist nicht per WAN verbunden, sondern per LAN).
Der WDR4300 ist ungesichert im Netz. Ich finde im DD-WRT Menü nicht die Stelle, wo man WPA2-PSK einstellt.
Ich hoffe, jemand hat den entscheidenden Hinweis, um die Proxy-Verbindung zum Laufen zu bringen.

 

[M-X]

Bitte das Netz der Router mal Grafisch darstellen mit IPs mit wird aus dem Text der Aufbau nicht klar.

 

[Gargor]

Was mir bei der Erstellung der Grafik aufgefallen ist:
Die beiden Router sind per LAN-Kabel verbunden. Lt. IP-Adresse schein die Verbindung aber via WLAN zustande zu kommen.

Beim Sat-Receiver und Fire-Stick habe ich keine IP-Adressen dazu geschrieben, weil die noch nicht dranh192.168.ngen. Beim Netgear-Router hängen noch ein paar Handys dran mit IP-Adressen 192.168.0.5/6/7...

 

[Raijin]

Prinzipiell ist eine VPN-Verbindung erstmal nichts anderes als zB eine http-Verbindung zu einem Webserver. Wenn Traffic darüber getunnelt werden soll, muss das auch entsprechend konfiguriert werden. Dazu gehört die Routingtabelle sowie passende Regeln in der Firewall.

Um potentielle Probleme mit der Verbindung zwischen den Router vorzubeugen, schalte daas WLAN am besten ab und teste ausschliesslich per LAN.

Bevor du das über einen Client am TP-Link testest, solltest du es am TP-Link selbst testen. Log dich per ssh in den TP-Link ein und teste traceroute computerbase.de sowie curl icanhazip.com. Damit checkst du ob der TP-Link den VPN-Server als Standardgateway nimmt bzw welche öffentliche IP er hat.

 

[Gargor]

Sorry, ich bin nicht vom Fach. Ich habe anderthalb Wochen gebraucht, bis ich den Router -irgendwie- im Netzwerk eingebunden hatte. Ich habe keine Ahnung, wie ich mich "mit ssh" in den Router einloggen kann. Ich kennen nur die Variante, die IP-Adresse in die Adresszeile zu geben. Nur von da aus kann ich keine Internetadressen testen.
Ich habe aber den Laptop per LAN-Verbindung mit dem Router verbunden und es dann nochmal versucht. Allerdings mit dem gleichen Ergebnis, es wird meine IP-Adresse in Deutschland angezeigt und nicht die ausländische, die ich lt. installiertem Proxy eigentlich haben müsste.

 

[Raijin]

Der PC muss als Standardgateway die IP vom VPN- Router haben.

Für normales Internet muss das Gateway auf die IP vom Internet-Router stehen (zB x.y.z.1) und für Internet via VPN muss das Gateway auf die IP vom VPN-Router eingestellt werden (zB x.y.z.2). Von alleine weiß der PC das ja nicht.

 

[Gargor]

Ich habe das jetzt bestimmt 10x gelesen, aber ich komme nicht dahinter, was ich daraus ableiten kann.

Ich kann mich mit beiden Netzwerken bzw. Routern verbinden, aber auch wenn ich mit dem TP-Link verbunden bin (dann nutze ich ja die IP vom VPN-Router), bin ich nicht mit der ausländischen IP vom VPN-Anbieter unterwegs.

Netgear Router (normales Internet) hat:
Standardgateway 192.168.0.1
DHCP aktiviert: ja
IPv4-Adresse: 192.168.0.5
Subnetzmaske: 255.255.255.0
IPv4 DHCP Server: 192.168.0.1
IPv4 DNS Server: 192.168.0.2

TP-Link Router (via VPN/Proxy Anbieter) hat:
Standardgateway 192.168.0.2
LAN IP: 192.168.0.2
WAN IPv4: 192.168.0.12
DHCP: enabled, Start IP-Address 192.168.0.100

Ich habe jetzt mal versucht den Standardgateway vom TP-Link Router auf 192.168.0.100 zu ändern, weil die 192.168.0.2 manchmal auch für einen anderen client vergeben wird, aber dann hatte ich überhaupt keinen Zugriff mehr auf meinen Router bzw. Internet.

Je mehr ich zu diesem Thema lese, desto unklarer wird´s. Einmal heißt es DHCP muß beim VPN-Router disabled sein, dann wieder das Gegenteil. Der eine schreibt: LAN zu WAN Verbindung, der nächste LAN zu LAN. Und zu den IP-Adressen finde ich jede Menge Grundlageninformationen, die ich aber nicht zu einem funktionierenden System umsetzen kann.

 

[Raijin]

Versteh mich bitte nicht falsch, aber die Erklärungen sind nicht das Problem. Deine Kenntnisse sind begrenzt, aber du möchtest ein fortgeschrittenes Setup einrichten. Man muss selbst Hand anlegen und sich mit den Begrifflichkeiten auseinandersetzen. Wenn man zB weiß was ein DHCP macht und wie er funktioniert, stellt sich die Frage nach an/aus gar nicht erst. Auch bei step-by-step Tutorials muss man zumindest grob nachvollziehen können warum man dies oder jenes tun soll.

Deine Einstellungen sehen zB sehr konfus aus.

Normalerweise hat der Internetrouter im LAN die x.y.z.1
DHCP an. WAN-IP + Gateway + DNS kommen vom Provider.
Ein zweiter Router, der kein eigenes LAN verwalten soll wird per LAN-Port angeschlossen, WAN bleibt leer. Die LAN-IP würde ich auf x.y.z.2 setzen, DHCP aus. Default Gateway + DNS ohne VPN erstmal auf die x.y.z.1 setzen. Jetzt kann der 2. Router über den 1. ins Internet und zB ein VPN verbinden. Weitere Router/Access Points auf bekommen die IP x.y.z.3 etc. und GW + DNS ebenfalls auf die x.y.z.1. Das ist das Basis-Setup, der Start.

Jetzt richtet man auf dem 2. Router das VPN ein. Pakete installieren falls nötig, Konfigurationsdateien und Zertifikate vom Anbieter auf den Router kopieren und die VPN Verbindung starten. Mit dem Tool puTTY kannst du dich per ssh mit dem Router verbinden. Login wie beim Browserlogin. Nun ist man auf der Linux Konsole und kann zB mit traceroute computerbase.de prüfen ob der 1. Hop der Internetrouter oder das VPN Gateway ist. Wenn ersteres der Fall ist, läuft das VPN schon ohne PC nicht wie gewünscht und man muss sich zB um die Routingtabelle kümmern. Wenn du soweit bist, sehen wir weiter.

 

[swz.alucard]

Mich wundert, das der TP-Link Router diese Konfig
###
TP-Link Router (via VPN/Proxy Anbieter) hat:
Standardgateway 192.168.0.2
LAN IP: 192.168.0.2
WAN IPv4: 192.168.0.12
DHCP: enabled, Start IP-Address 192.168.0.100
###

überhaupt zugelassen hat. IP-Ranges auf dem WAN-Interface und im LAN müssen unterschiedlich sein, sonst funktoniert das Routing nicht.
Würde dir folgendes empfehlen:
1. Router:
WAN per DHCP beziehen bzw so lassen we es derzet ist,
LAN-IP 192.168.0.1/24,
DHCP im LAN an(Range zB 192.168.0.100-200)
2. Router:
Verbindung per WAN an einen LAN-Port des 1. Routers
WAN per DHCP beziehen oder alternativ fixe IP 192.168.0.2 und default-GW 192.168.0.1
LAN-IP 192.168.1.1/24
DHCP im LAN an(Range zB 192.168.1.100-200)

 

[Gargor]

Deine Kenntnisse sind begrenzt, aber du möchtest ein fortgeschrittenes Setup einrichten.

Da stimme ich zu 100 % mit Dir überein. Ich hatte ein Tutorial (allerdings andere Router, andere Software), daß genau das beschrieben hatte, was ich wollte. Ich dachte, wenn ich mich 1:1 an die Vorgaben halte, dann kriege ich das auch hin. Sachen, wie DD-WRT flashen oder die Daten vom VPN/Proxy-Dienst hinterlegen haben ja auch ganz gut geklappt. Aber die ganze Netzwerk-Thematik ist schon recht komplex und ich gebe zu, ich suche hier den schnellen, bequemen Weg zur Lösung und wollte nicht bei den Grundlagen anfangen und das Thema zu meinem Hobby machen.

Also erst mal vielen Dank für die Vorschläge (auch an swz.alucard), das probiere ich gleich mal aus. Kann aber etwas dauern, denn wenn ich durch das Ändern der IP plötzlich keinen Zugriff auf das Internet mehr habe (in den letzten Tagen schon mehrfach vorgekommen), dann ist auch immer gleich die Möglichkeit weg zu recherchieren, wie ich das jetzt wieder gerade biege.

 

[Raijin]

@swz.alucard: Jetzt reden wir aber von verschiedenen Szenarien. Wenn Router2 per WAN Interface verbunden wird, entsteht ein separates Netzwerk. Möchte man nun von einem Gerät am Hauptrouter zB auf ein NAS an Router2 zugreifen, muss man netzwerkintern eine Portweiterleitung einrichten, weil das NAS hinterm NAT versteckt ist.

Die Frage ist ob das so sein soll - zB um als Mitbewohner/Untermieter ein mehr oder weniger separates, isoliertes Netzwerk zu haben.

 

[Gargor]

Gelöst!!!
Ich habe mich durch mehrfache Info, dass LAN to LAN besser sei, als LAN to WAN zu dieser Verkabelung verleiten lassen, was sich als falsch heraus gestellt hat.

Ich möchte zwei Netzwerke, eins für "normale" clients und eins, über das bestimmte clients ausschließlich über den VPN/Proxy-Router ins Netz gehen.

Folgefehler: Ich habe Router 1 und Router 2 im gleichen IP-Segment angelegt.

Ursache war, dass ich mich in der Anleitung auf die Screenshots konzentriert hatte (die IPs im selben Segment gezeigt hatten), im Text der Anleitung gab es aber einen Hinweis zu den unterschiedlichen IP-Segmenten.

Vielen Dank für Eure Unterstützung. Nicht in allen Foren gibt es so schnell Support. Ich sag nur DD-WRT...

 

[Raijin]

Wenn es so funktioniert wie du möchtest, ist ja alles gut.

Du hast jetzt zwei mehr oder weniger getrennte Netzwerke. Wenn ein Gerät am anderen Ende der Wohnung ebenfalls ins VPN-Netzwerk soll, muss gegebenenfalls ein Kabel zum VPN-Router gezogen werden. Kann man so machen, ginge aber auch anders.

Ich hab zB einen MiniComputer (Raspberry PI), der die VPN-Verbindung zu Cyberghost aufbaut. Alles ist in einem Netzwerk. Je nachdem ob Gerät xy nu über VPN oder Telekom online gehen soll, muss nur das Standardgateway auf x.y.z.1 (mein Speedport) oder x.y.z.2 (PI) eingestellt werden. Eine Trennung inkl NAT, eigenem IP-Bereich (Subnetz) ist nicht notwendig und kann wie erwähnt umständlich werden, wenn man von Haupt-LAN ins VPN-LAN will - zB wenn dort das NAS angeschlossen ist.

Aber ich will dir nicht reinreden. Läuft es so wie du möchtest, lass es so und werd glücklich damit