Ich habe gerade meinen alten Netgear-Router auf DD-WRT aktualisiert und möchte die integrierte OpenVPN-Serverkomponente verwenden, um das private Einzelsubnetz meines Hauses zu bedienen.
Also habe ich dieses Setup: [öffentliches Internet]----[dynamischer DNS-Host]<---ISP--->[DD-WRT/OpenVPN-Server-Router 192.186.0.1 mit privatem Heim-Subnetz 192.168.0.0/24 Clients]
Ich möchte meine Internetverbindung zu Hause sicher nutzen und sicher auf die Maschinen in meinem privaten Subnetz zugreifen können, wenn ich unterwegs bin und das öffentliche Internet oder ein ungesichertes WLAN verwende.
Mein DD-WRT kann ein OpenVPN-Server sein.
Bisher scheinen viele der Anleitungen, die ich gelesen habe, zu verlangen, dass die OpenVPN-Clients eine private IP haben, die sich von der Adresse meines einzelnen privaten Subnetzes unterscheidet. Viele von ihnen scheinen Sie auf etwas wie 10.xxx für Client-IPs verweisen zu wollen.
Ist das überhaupt Voraussetzung, damit das funktioniert?
Handelt es sich bei diesem Netzwerk vom Typ 10.xxx um ein tatsächliches physisches Subnetz, für das ich einen zweiten Router benötige, oder handelt es sich um ein virtuelles Subnetz, das der OpenVPN-Server meines DD-WRT für sich selbst „erstellen“ würde?
Oder kann ich das alles mit dem einzigen privaten Subnetz tun, über das ich physisch verfüge?
Vielen Dank im Voraus für Ihre Einblicke in meine ersten Versuche, ein OpenVPN einzurichten.
Antwort1
Die OpenVPN-IP-Adressemussmuss sich vom IP-Bereich Ihres Heimnetzwerks unterscheiden, sonst treten Probleme auf.
Andererseits wird die OpenVPN-IP-Adresse nur zwischen dem OpenVPN-Server und dem Verbindungsgerät, z. B. Ihrem Laptop, verwendet. Ihrem Laptop könnte also 10.8.0.2 zugewiesen sein und Ihrem OpenVPN-Server 10.8.0.1. Beide IP-Adressen existieren (im Grunde) nur innerhalb des VPN-Tunnels. Der Grund dafür ist, dass OpenVPN sowohl auf dem Server als auch auf dem Client eine virtuelle Netzwerkschnittstelle (z. B. tun0) erstellt und dieser diese IP-Adressen zuweist. Es gibt kein „physisches“ Netzwerk 10.8.0.0, das konfiguriert werden muss.
Sie können openVPN (Server oder Client) so konfigurieren, dass die Route zu Ihrem Heim-IP-Bereich 192.168.0.0/24 bekannt ist, sodass Sie
- Verbinden Sie Ihr VPN
- Ihrem Laptop wird für den VPN-Tunnel die Adresse 10.8.0.2 zugewiesen.
- Sie können Ihren Browser, SSH oder Microsoft Terminal Services öffnen
- und richten Sie es auf 192.168.0.x
Ihr OpenVPN-Server/Router selbst ist unter zwei IP-Adressen bekannt: 10.8.0.1 und 192.168.0.1.
Die entsprechenden Angaben zu den Routen finden Sie
push "route 192.168.0.0 255.255.255.0"
auf dem Server und
route 192.168.0.0 255.255.255.0
auf dem Client. Sie benötigen nur einen davon; in Ihrem Szenario ist es Geschmackssache, in welche Konfigurationsdatei Sie ihn einfügen. Zusammen mit IP-Maskierung in Ihren iptables (von der ich annehme, dass openWRT sie bereits hat) können Sie sich von einem Remote-Computer aus mit Ihrem Heimnetzwerk verbinden und auch von einem Remote-Computer aus im Internet surfen. Einfaches Beispiel:
Your laptop -> unencrypted, public WIFI -> internet
wird dann
Your laptop -> encrypted VPN -> openWRT -> internet.
Daher können weder der unverschlüsselte, öffentliche WLAN-Anbieter noch Sniffer in diesem WLAN Ihren Datenverkehr lesen.
Wenn Sie den OpenVPN-Server auf einem anderen Port ausführen möchten, z. B. um sich vor Port-Scanning, Script-Kiddies oder Ähnlichem zu schützen, verwenden Sie diesen port 9411als Beispiel.
(Bearbeiten: Fragen und Antworten aus den Kommentaren unter dieser Antwort in diese Antwort eingefügt.)