Ich habe ebenfalls das ganze mal getestet und es funktioniert einwandfrei.
=> Tolle Anleitung!

Vielleicht noch ganz wichtig: Win7 Nutzer müssen den openVPN GUI Client als Administrator starten. (rechte Maustaste auf das PorgammIcon "OpenVPN GUI" -> Eigenschaften -> Kompatibilität -> Berechtigungsstufe"Programm als Administrator ausführen" aktivieren.) Sonst werden die Routen nicht gesetzt.

---

Nun eine Frage an die Routing Experten.
wiregate: 192.168.0.95 (push "route 192.168.0.0 255.255.255.0")
speedport: 192.168.0.1 (portfw: 1194/udp + dhcp + gateway)

Ich versuche nun weitere Geräte aus dem LAN zu erreichen.

Beispielsweise den SpeedportW723v. Leider funktioniert das nicht und ich vermute es liegt daran, dass der speedport die Anfrage nicht zum wiregate zurückschickt sondern die Anfrage ins internet weiterleitet. (Es fehlt dem Speedport die Möglichkeit eine statische Route von 172.x.x.x Adressen ans WG zu senden)

Seht ihr das genauso?

Vielleicht noch als info, der Speedport macht dhcp und vergibt natürlich aus als gateway sich selbst. Könnte man dies nicht ändern, das das WG das Gateway wird und quasi eine statische route zum speedport den weg ins internet frei gibt?

Was wäre eine saubere Lösung?
Hat das WG noch genügend Ressource?

Gruß und Danke Tim

Ich hab auch ne Frage zu dem Thema:

ist die Port weiterleitung, zusätzliche Abfrage durch htaccess und User/PW Abfrage im Webmin ebenfalls unsicher?
Bin Sicherheitstechnisch im Internet definitiv nicht auf dem laufenden

Gruß

Hi,

ist jetzt vielleicht eine ganz blöde Frage, aber mit der Beschreibung seh ich das Webmin, oder? Wie kann ich mir denn meine CometVisu anschauen?? Geht das irgendwie? Oder evtl. wo anders schon beschrieben und viel einfacher?

René

Von extern:

DeineDynDns.org/visu

Einfach dass verzeichniss im /var/www Ordner anwählen.

Gruß

Das geht eigentlich wirklich mit fast jedem, statische Routen anzugeben. Evtl. irgendwo Expertenfunktionen aktivieren oder so?


Könnte man, geht auch. Aber wenn man nichtmal statische routen eingeben kann, nicht mit diesem Speedport vermutlich.
Also entweder statische IP's und das WG zum Gateway machen
Oder das WG selbst zum DHCP-Server/DNS-forwarder machen (Stichwort: dnsmasq); geht problemlos (mein Internet-Router für VDSL 50/10 ist ein WG aber halt so mit Vlans und so, das liegt dem Heim-admin nicht unbedingt in der Wiege)
Das "wie" ist (hier) aber noch? (Stichwort Siriproxy ) nicht so sonderlich dokumentiert..

Sauber? Naja, das liegt im Auge des betrachters würde ich sagen. In grösseren Netzen ist es durchaus sehr üblich das DHCP, DNS, und Router getrennte Geräte sind, im kleinen kann es halt schnell zu Kopfzerbrechen führen.
Also ist die Frage eher ob man das meint sicher zu beherrschen

Resourcen?: Kein Thema! Erstens macht das WG mit der linken A*backe 100MBit Routing und zweitens läuft das nicht so; also mal angenommen das WG ist das Default-GW und am WG das "richtige" GW eingetragen erfolgt nur (vereinfacht ausgedrückt!) pro Verbindung ein ICMP-Redirect, nach dem ersten Paket spricht der Host also trotzdem direkt mit dem Speedport..

Eine weitere Alternative ist VPN-Bridge-Howto
Keine perfekte Sache (geroutet ist technisch sauberer) aber bis auf die einmalige Änderung am WG ist das eher die "Lieschen-Müller-Lösung", weils halt dann "einfach geht"

Webmin (Port 10.000) macht nix mit htaccess, und ein Webmin hat IMHO (egal welcher) einfach nichts direkt im Internet verloren (ausser er ist evtl. guten Leuten sehr gut permanent gewartet)
Ich vermute/hoffe du meinst den lighttpd (Port 80) also CometVisu, Grafiken usw. (der Defaultmässig völlig offen!), der ist entsprechend abgesichert als save zu betrachten - weil der Umstand bekannt ist - und der auch sicherlich Update-Pflege erhalten würde (so das mal notwndig werden sollte; bisher ja nur weil diverse "vertrauenswürdige" Root-CA's und Browser-macher mal grob sch* gebaut haben)

Fazit: Bitte nur Ports aus dem Internet an interne Geräte weiterleiten, wenn man sich auch wirklich 100% sicher ist, was man da tut! Das gilt jetzt nicht nur fürs WG sondern allgemein. Die Sachen müssen dafür eben speziell gehärtet sein und permanent geupdatet etc.
Aus der Box zusichern können wir das derzeit nur für den (Open)VPN-Server (sofern ggfs. verfügbare Updates regelmässig installiert werden);
Das ist unser Kerngeschäft und daher weiss ich eben sehr gut das wenn ich heute schreibe dies/jenes ist gut&sicher kann sich das morgen ändern. Eine falsche Zeile in der Konfiguration reicht auch locker, daher empfehle ich ich eben jedem der sich damit nicht im Detail&täglich auseinandersetzt das VPN in der Standardkonfiguration zu nutzen, weil das ist durchdacht, sauber, sicher (und vor allem: würde mit Updates auch gepflegt; war jetzt noch nie notwendig, weil am Start etwas gescheites gewählt wurde )

Unsere Honeypots erfahren täglich hunderte (oder je nach Zählweise:tausende) Angriffsversuche von Rio bis Shenzen, 99,999% davon sind nichtmal gezielte Angriffe. Aber auf dem Rechner einen Spambot zu haben ist auch kein Performance-Vorteil

Makki

An dem Routing bin ich nun stecken geblieben

Was ich bisher gemacht habe:

1. Im WG (= 192.168.0.30) webmin einen neuen VPN Client angelegt. Dabei
   push "route 192.168.0.0 255.255.255.0"
   eingetragen.
2. Konfigurationsdateien auf meinem Kubuntu Rechner entpackt und im NetworkManager importiert
3. Dort außerdem Chiffre auf AES-128-CBC gesetzt (dessen "standard" hat nicht funktioniert)

=> Vermutlich habe ich nun eine funktionierende VPN-Verbindung.

Was nun zumindest geht:

1. WLAN Tethering am Android aktiviert, Laptop damit verbunden (um sicher aus dem lokalen Netz draußen zu sein)
2. VPN gestartet
3. WireGate per lokaler IP (192.168.0.30) angepingt und per SSH eingelogt

Was aber nicht mehr funktioniert:

• IP Adressen auflösen (host www.heise.de oder host fritz.box)
• Andere Adressen anpingen (ping 192.168.0.1 was die fritz.box wäre)

=> Was ist falsch? Was muss ich ändern um alles lokal erreichen zu können? Und um über lokal in's große Netz zu gelangen?

An der FB eine statische Route:
172.24.254.0/255.255.255.0 -> 192.168.0.30

Und (zumindest im Network-manager) gibts unter VPN->Einstellungen->Routen->"Diese Verbindung nur für Resourcen dieses Netzwerks verwenden"
Dann sollts auch mit heise bei aktivem VPN wieder klappen..

Makki

Tja, das erlaubt die Firtz!Box nicht, bzw. ich wüsste nicht wo ich das eintragen könnte...
Hab ich so nicht (vermutlich der Unterschied zwischen Ubuntu und Kubuntu...). Ich habe mal "Nur für Quellen dieser Verbindung verwenden" aktiviert:

=> Heise (nur Ping getestete) hat funktioniert. Intern nur das WG unter 172.24.254.1 (keine Ahnung welche Adresse das ist. Ich hab ihm ja nur statisch die 192.186.0.30 zugewiesen...). Internes DNS mochte auch nicht.

Unter Heimnetzwerk/Netzwerk/Statische IPv4 Routing Tabelle? Hat zumindest bei mir so geklappt...

Moin,

statische Routen gibt's unter:

Heimnetz->Netzwerk->Heimnetzwerk->IPv4-Routen

EDIT: zu langsam

VG,
Mucki

Sehr gut!

Jetzt funktionieren externe Seiten mit DNS und interne zumindest mit direkten IP. Fast perfekt

Schön
Mit ein bisschen Liebe zum Detail könnte man aufs WG noch einen dnsmasq o.ä. packen, per VPN den als DNS zum client "pushen" und dann externen sowie internen DNS via avahi auflösen, soviel liebe zum Detail hatte aber bislang nichtmal ich

Makki