OpenVPN Routing Frage

firefox89

firefox89

Enthusiast
Thread Starter
Mitglied seit
22.08.2005
Beiträge
990
Ort
Köln
Hallo Zusammen,

ich bin gerade dabei ein Site-to-Site VPN aufzubauen. Habe aber noch einige Fragezeichen im Kopf.

Zur Zeit läuft bei mir einwandfrei ein Raspberry als OpenVPN server.

Code: 
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
log-append /var/log/openvpn


Jetzt soll allerdings noch ein Router dazukommen, um eine Site-to-site Verbindung herzustellen. Auf dem Router läuft Tomatousb, der VPN Client ist auch soweit eingerichtet, dass er sich erfolgreich authentifiziert.

Allerdings hänge ich jetzt an dem Teil, dass alle Clients hinter dem VPN-Client den Tunnel benutzen sollen. Auf der Clientseite gibt es ne Fritzbox (192.168.178.1), die für den Internetzugang zuständig ist.

An der Fritzbox hängt ansonsten nur ein PC, welcher nicht auf das VPN zugreifen soll.

Was passiert, wenn sich der VPN-Client(Router) verbindet? Werden die Daten automatisch in mein VPN-Netz (10.8.0.0) geschickt oder muss ich noch ne Route erstellen?

Wie würde eine Routingtabelle aussehen? Habe mir folgendes gedacht, weiß aber nicht, ob es richtig ist.

Ziel 10.8.0.0
Netzmaske 255.255.255.0
Getaway 192.168.178.1

Ich würde das ganze am liebsten gerade selber testen, habe aber vorerst keine das ganze wirklich zu testen, von daher wollte ich euch mal fragen, ob das ganze so funktioniert.

Hoffe ich hab das ganze einigermaßen verständlich ausgedrückt :fresse:

Gruß Jonas
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...OK, mal sehen ob ich es verstanden hab...

- Der Tomato hängt hinter einer Fritz und hat darüber I-Net Zugang
- Der Tomato macht den VPN-Client zum RPi übers I-Net
- weitere Clients am der Fritz sollen nur ins I-Net
- Clients am Tomato sollen nur ins VPN

-> dann muss der Tomato für "seine Clients" DHCP machen und Ihnen seine IP als Default GW melden.
-> der RPi muss dem Tomato VPN Client sagen, dass der VPN-Client diese Verbindung fürs I-Net nutzen soll -> also den RPi im tomato als Default-GW pushen.
 
Ja genau ;)

Ahhh klingt iwie logisch, werde ich dann direkt mal bei Gelegenheit testen ;)

Das heißt default gw von der Tomate wird dann die 10.8.0.1 (RPi IP)?
Und die jeweiligen Clients kriegen die Tomate als default gw?

Gruß
Jonas
 
Ja, nur das die Einstellung des default-gw von der Tomate vom Zustand der VPN-Client Verbindung geregelt wird.
Das brauchst Du aber nur fürs I-net Zugriff *über* das VPN hindurch.
Wenn Du das für die tomaten-seitigen Clients nicht brauchst, musst Du nur den ersten Schritt machen und die tomate bei den clients als default-gw eintragen.

Also...
...die Clients hinter der Tomate kriegen die LAN-IP des Tomat als default-GW.
Damit gehen diese *immer* über den tomato...fertig.
Wenn die VPN-Client-Verbindung steht, können diese Clients auch ins VPN-Netz/zum RPI.
Die Route dahin hat ja der tomato vom RPI bekommen, bei der VPN Einwahl.

Wenn jetzt aber die Clients hinter dem Tomato ins i-Net wollen, braucht der tomato die Route ins I-Net.
Das default-gw des Tomato ist normalerweise die Fritz...das muss auch so sein, sonst kämen die Clients und der Tomato ja nicht in i-Net
Wenn die VPN-Client Verbindung aber steht, soll sich ja das GW ändern....Das kann der RPi pushen.

BTW: ist ist aber noch keine Site-2-Site Kopplung.
Clients auf RPi-Seite kommen so nicht ins Netz zur/hinter die tomate.
 
Erstmal danke für deine Hilfe...

Hab das ganze gerade mal getestet.

So weit klappt auch alles. Das heißt ich komme aus dem Client Netz sowohl ins VPN Netz (10.8.0.0 und 192.168.1.1). Soweit so gut.

Zur Administration und Support würde ich aber auch gerne auf das Client Netz zugreifen (192.168.178.0).

In den OpenVPN Wiki steht, dass ich hierzu mit config files arbeiten muss...
Haben dafür also in der openvpn.conf folgendes hinzugefügt:
Code: 
client-config-dir ccd
route 192.168.178.0 255.255.255.0

Vorher habe ich natürlich den Ordner ccd unter /etc/openvpn/ erstellt.
Im Ordner ccd liegt jetzt eine Datei mit dem Client Name und mit folgendem Inhalt.
Code: 
iroute 192.168.178.0 255.255.255.0

Leider kann ich aber auf seiten des Servers nicht auf das Client Netz zugreifen.

Kannst du mir dafür vielleicht noch helfen?

Gruß
Jonas
 
firefox89 schrieb:
So weit klappt auch alles. Das heißt ich komme aus dem Client Netz sowohl ins VPN Netz (10.8.0.0 und 192.168.1.1). Soweit so gut.

Zur Administration und Support würde ich aber auch gerne auf das Client Netz zugreifen (192.168.178.0).
Zum Vergrößern anklicken....

...OK, also die Aufgabe lautet, die Clients hinter der Tomate sollen auch ins Netz der Fritz?

Wie ist denn die Tomate an die Fritz angeschlossen? Als Router oder AP und welche IP hat sie (WAN und/oder LAN)?...welches Netz hat die Tomate/die Clients hinter ihr?

Leider kann ich aber auf seiten des Servers nicht auf das Client Netz zugreifen.
Zum Vergrößern anklicken....
Sag ja, das ist keine site2site Kopplung...was Du als Anforderung beschrieben hattest ist ein Client/Server Szenario...

- - - Updated - - -

...site-to-site mit OpenVPN: How To Set Up a Site-to-Site VPN with OpenVPN - SmallNetBuilder
 
Jein.
Ich möchte von Zuhause(192.168.1.0) aus, auf das Netz der Fritzbox (192.168.178.0) zugreifen können. Bislang kann ich nur auf die Tomate zugreifen (192.168.178.10) komme aber weder auf der Fritzbox(192.168.178.1), noch auf die anderen Clients, die sich im Netz der Fritzbox befinden.

Die Tomate dient als Wireless Ethernet Bridge, stellt also das WLAN Signal für andere Clients zur Verfügung. Lan IP der Tomate ist wie gesagt (192.168.178.10) Die Clients hinter der Tomate haben das Netz der Fritzbox, also 192.168.178.0.

Bei mir im Router habe ich folgende Route eingetragen
Destination: 192.168.178.0
Gateway: 192.168.1.12
Sub: 255.255.255.0

und
Destination: 10.8.0.0
Gateway: 192.168.1.12
Sub: 255.255.255.0

Ist das denn soweit verständlich? :fresse:

Ja das How2do habe ich mir auch schon durchgelesen, bringt mich aber leider nicht zum gewünschten erfolg.


Edit:
Vielleicht noch erwähnenswert. Das Client Netz steht eigtl. soweit, heißt ich kann aus dem Client Netz auf jedes Gerät im Server-Netzwerk(192.168.1.0) zugreifen.
Es geht halt einfach nur darum, dass ich bspw. per ssh oder rdp auf nen Client aus dem Fritzbox Netz zugreifen möchte.
 
Zuletzt bearbeitet:
..oki, der RPi ist 192.168.1.12 und Dein Router auf der Seite hat 192.168.1.....1?
Dann sind die Routen in Deinem Router mMn i.O.

...aber was ist im RPi configuriert?
Wenn Du Dich auf den RPi in ein Terminal einloggst...kommst Du von da auf die Tomate (192.168.178.10)?

firefox89 schrieb:
In den OpenVPN Wiki steht, dass ich hierzu mit config files arbeiten muss...
Haben dafür also in der openvpn.conf folgendes hinzugefügt:
Code: 
client-config-dir ccd
route 192.168.178.0 255.255.255.0
Zum Vergrößern anklicken....

...das ist kein openVPN Befehl...was willst Du da machen und *wo* ist diese config..auf dem RPi?

Vorher habe ich natürlich den Ordner ccd unter /etc/openvpn/ erstellt.
Im Ordner ccd liegt jetzt eine Datei mit dem Client Name und mit folgendem Inhalt.
Code: 
iroute 192.168.178.0 255.255.255.0
Zum Vergrößern anklicken....

...OK, das ist auf dem RPi...das ist richtig, aber Du musst auch das Transfer-Netz push-en.
Pack mal ein
Code: 
push "route 10.8.0.0 255.255.255.0"
dazu.

- - - Updated - - -

...guck auch mal hier: http://jorudolph.wordpress.com/2011/01/16/openvpn-site-to-site-setup/
 
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
454
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh