2.7 KiB
2.7 KiB
Experimenta VPN via Tailscale/Headscale
Ziel: Zugang zum Experimenta-Firmennetz von zu Hause — ohne F5 VPN Client.
Setup
- Router: GL-MT3000 (OpenWRT)
- Modus: Client-Mode im Firmen-WLAN
- Headscale: hs.noxware.net
Routen (aus F5 VPN extrahiert)
| Netz | Beschreibung |
|---|---|
| 10.10.0.0/16 | Haupt-Firmennetz |
| 10.20.0.0/16 | Weiteres internes Netz |
| 172.31.1.0/24 | - |
| 172.31.2.1/32 | Einzelhost |
| 192.168.1.0/24 | - |
| 192.168.2.0/24 | - |
| 192.168.4.0/24 | - |
| 192.168.5.2/32 | Einzelhost |
| 192.168.5.3/32 | Einzelhost |
| 192.168.5.5/32 | Einzelhost |
| 192.168.5.11/32 | Einzelhost |
| 192.168.6.0/24 | - |
DNS-Server: 10.10.32.1, 10.10.32.2
Schritt 0: MAC-Adresse spoofen (Firmen-Firewall)
Die Firmen-Firewall kennt nur die MAC-Adressen deines MacBooks (WLAN + Ethernet). Der Router muss die WLAN-MAC deines Macs übernehmen.
# Auf dem Mac — WLAN-MAC rausfinden:
networksetup -getmacaddress Wi-Fi
# oder: ifconfig en0 | grep ether
# Auf dem Router — MAC persistent setzen:
uci set wireless.@wifi-iface[0].macaddr='XX:XX:XX:XX:XX:XX'
uci commit wireless
wifi reload
Alternativ via LuCI: Network → Wireless → Client-Interface → Advanced Settings → Override MAC address
⚠️ Wichtig: Mac danach nicht mehr direkt ins Firmen-WLAN — nur noch über Tailscale durch den Router!
Schritt 1: GL-MT3000 konfigurieren
# IP Forwarding aktivieren
sysctl -w net.ipv4.ip_forward=1
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# Tailscale starten mit Routen
tailscale up --login-server=https://hs.noxware.net \
--advertise-routes=10.10.0.0/16,10.20.0.0/16,172.31.1.0/24,172.31.2.1/32,192.168.1.0/24,192.168.2.0/24,192.168.4.0/24,192.168.5.2/32,192.168.5.3/32,192.168.5.5/32,192.168.5.11/32,192.168.6.0/24 \
--accept-dns=false
Schritt 2: Firewall (OpenWRT)
# Zone für Tailscale
uci add firewall zone
uci set firewall.@zone[-1].name='tailscale'
uci set firewall.@zone[-1].input='ACCEPT'
uci set firewall.@zone[-1].output='ACCEPT'
uci set firewall.@zone[-1].forward='ACCEPT'
uci set firewall.@zone[-1].network='tailscale'
# Forwarding Tailscale → WAN
uci add firewall forwarding
uci set firewall.@forwarding[-1].src='tailscale'
uci set firewall.@forwarding[-1].dest='wan'
uci commit firewall
/etc/init.d/firewall restart
Schritt 3: Headscale — Routen freigeben
headscale routes list
headscale routes enable -r <ROUTE_ID>
Schritt 4: Client zu Hause
tailscale up --accept-routes
Hinweise
- Heimnetz: 192.168.222.0/24 — kollidiert nicht ✅
- Exit-Node: Nicht nötig, da nur Split-Tunnel gewünscht
- Router muss im Firmen-WLAN eingeloggt sein (Client-Mode)
Erstellt: 2026-01-31