Netzwerk, WHS, und roaming Clients...

[JoachimL]

Hallo,
bisher habe ich auf einen Post hier verzichtet, denn ein Acer H340 ist relativ unspektakulär. Interessanter sind eher das Netzwerk und die roaming Clients. Genaugenommen ist es nicht ein Netzwerk, sondern deren zwei, die aber über OpenVPN im Bridgemodus so verbunden sind, daß die Clients das gar nicht merken. Hier mal ein Bild:

network3.jpg (26.93 KiB) 4442 mal betrachtet

Die Fritzboxen dienen als Internet Gateway, aktualisieren jeweils eine Dyndns Domain, und schicken regelmäßig via AVM Push Service einen Bericht. DHCP (und damit DNS) ist deaktiviert, wodurch ich die Sicherheitsprobleme des AVM DNS Forwarders vermeide. Auch das WLAN ist aus. Auf der 7050 ist nur UDP 1194 für OpenVPN offen, auf der 7112 zusätzlich auch TCP 443 für https, TCP 1723 und GRE für VPN auf dem WHS. Die 7112 hört den eingehenden Internetverkehr mit und weckt den WHS automatisch wie in viewtopic.php?f=26&t=7338 beschrieben, zur Zeit aber nur für VPN, und bindet auch ein Telefon mit VOIP ein (eingehende und ausgehende Gespräche gehen über unterschiedliche Provider).

Die NetGear WNDR3700 (beide V1) laufen unter OpenWRT Backfire 10.03.1rc4. Die WAN Ports sind unbeschaltet. Die Bridge umfaßt Ethernet, WLAN, sowie das Tap-Interface für OpenVPN. Dnsmasq liefert DHCP und DNS Services (Forwarding jeweils zum lokalen Provider). Wie schon oben angedeutet, verknüpft OpenVPN die beiden Netze im Bridgemodus. Damit es keine Probleme mit den zwei DHCP Servern gibt (und evtl. ein Client über die Brücke und die falsche Fritzbox ins Internet geht), habe ich OpenVPN so gepatcht dass DHCP-Requests rausgefiltert werden. Das wäre evtl. auch mit ebtables gegangen, aber so mußte ich nur OpenVPN und nicht das ganze OpenWRT neu übersetzen und erspare mir evtl. auch Performanceprobleme. Die NetGears spannen auch jeweils ein WLAN (11n, 2.4GHz, 5GHz auch möglich, aber z.Z. nicht genutzt) mit der jeweils gleichen SSID auf, mit dem angenehmen Effekt daß die Clients - 2 Laptops, 1 Android - es gar nicht merken in welchem der beiden Netze sie gerade angemeldet sind.

Diese Netzwerkkonfiguration läuft jetzt seit ca. 1 Monat stabil, nur einmal hat ein DynDNS Update nicht geklappt und natürlich hatte dadurch die Brücke einen Aussetzter.

Im WHS Acer H340 steckt als Systemplatte ab Werk eine 1TB Hitachi HDT721010SLA360, im Pool ist noch eine 2TB WDC WD20EARS - im Moment reicht das. Auf WHS läuft an zusätzlicher Software LightsOut (mit Netzwerküberwachung), Services For Unix (für den Satelitten-Receiver UFS 922, http://kathif.vs120005.hl-users.com/thr ... =1341&sid=), VPN (nur eine Dialup-Verbindung, RAS ist nicht aktiv weil ich die Firewall nicht ausschalten will), und TVersity. Backup mache ich im Moment noch durch 2 1TB Sicherungsplatten die abwechselnd im WHS stecken. Ich liebäugle mit einem Online-Backup-Dienst, will ihm aber nicht wirklich Zugriff auf meine Daten geben, d.h. ich will ihn über FTP oder WebDAV ansprechen und ihm nur bereits komprimierte und verschlüsselte Archive anvertrauen. Wenn das nichts wird, dann muß der eine NetGear noch Samba lernen und das Backup läuft halt auch über die Brücke...

Joachim

[Mike Lowrey]

Klingt sehr interessant, ich hatte auch gerade überlegt mal eine Fritzbox 7050 zu flashen um OpenVPN support zu bekommen, allerdings klang die Erläuterungen und Probleme mit OpenSSL nicht sehr ermunternd.

Worauf muss man denn da tatsächlich achten?

[Nobby1805]

Interessant !

Was ich allerdings nicht verstehe: warum ? Wenn die Clients beide Netze erreichen können, warum sind die Netze dann über das Internet und nicht direkt verbunden ?


PS oder bin ich einfach zu blöd das im Text zu erkennen

[JoachimL]

Klingt sehr interessant, ich hatte auch gerade überlegt mal eine Fritzbox 7050 zu flashen um OpenVPN support zu bekommen, allerdings klang die Erläuterungen und Probleme mit OpenSSL nicht sehr ermunternd.

Worauf muss man denn da tatsächlich achten?

Die 7050 kann out-of-the-box kein SSL und hat auch zu wenig Speicher um viel Software nachzurüsten. Meine lädt zwar ggfs. lippcap und tcpdump nach, aber SSL wäre m.E. zuviel verlangt. Daher läuft OpenVPN bei mir auch auf den NetGears. Ich benutze ein preshared-secret, spare mir also die Zertifikate.

Interessant !

Was ich allerdings nicht verstehe: warum ? Wenn die Clients beide Netze erreichen können, warum sind die Netze dann über das Internet und nicht direkt verbunden ?


PS oder bin ich einfach zu blöd das im Text zu erkennen

Die Netze stehen 500m Luftlinie voneinander entfernt, und ich müßte Kabel über öffentlichen Grund ziehen - Internet ist billiger, leider auch langsamer. Die konkrete Entfernung ist dabei natürlich egal.
Gruß Joachim