[gelöst] OpenVPN Problem

[grobit]

Hallo.

Damit sollte es gehen:

Destination = 10.0.0.0
subnet = 255.255.255.0
default gateway = 192.168.22.2

Kurz zur Erklärung: Der Router (IP 192.168.22.6) ist bei den Hosts als Standard-Gateway für alle IPs außerhalb des lokalen Netzes (192.168.22.0/255.255.255.0) zuständig, u.a. also auch für 10.0.0.0/255.255.255.0. Pakete an das Netz 10.0.0.0/255.255.255.0 müssen aber über den VPN-Server (IP 192.168.22.2) geroutet werden. Der Router leitet mit o.g. statischer Route Pakete an das Netz 10.0.0.0/255.255.255.0 nun an den VPN-Server (IP 192.168.22.2), und der VPN-Dienst weiß ja bereist, wie und wohin damit zu verfahren ist, denn durch

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

ist der VPN-Server (IP 192.168.22.2) schließlich auch ein Router geworden.

[Huck Fin]

Hi,
is ja der Hammer... es geht...
Ich pinge von hier aus auf alle IPs im fremden Netz

Ich habe nur noch ein Problem.
in meiner client config habe ich folgendes noch dazu geschrieben.

Code: Alles auswählen

route-gateway 10.0.0.10 255.255.255.0

Nun wollte ich das aber Serverseitig einbinden mit

Code: Alles auswählen

push "route-gateway 10.0.0.10 255.255.255.0

aber plötzlich war der Server nicht mehr anpingbar im 22er Netz.
Aber mein Gedanke war doch richtig, oder ?

Nachtrag:
Es funktioniert einwandfrei.
Eine Woche rumprobiert mit tun + tap + alles Mögliche und nun geht es.
1000 Dank

[grobit]

is ja der Hammer... es geht...
Ich pinge von hier aus auf alle IPs im f r e m d e n Netz

• §§§-Ups!

Der größere Hammer ist, im „fremden“ Netz die Papierschächte der Netzwerkdrucker leer zu fahren.
––––––

Code: Alles auswählen

route-gateway 10.0.0.10 255.255.255.0

Aber mein Gedanke war doch richtig, oder ?

route-gateway braucht als Parameter einen Host und kein Netz. Alleine deshalb war der Gedanke (leider) nicht richtig. Was soll damit bewirkt werden?

Entweder müsste in der client.conf

Code: Alles auswählen

route 192.168.22.0 255.255.255.0

stehen
oder in der server,conf

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"

Eben damit kommt der VPN-Client auch ins Netz hinter dem VPN-Server (das Netzwerk A). Aber das tut's doch bereits ...

[Huck Fin]

Hihi,
nein mit fremdes Netz meine ich das Netz auf der anderen Seite.. du weist schon, was ich meine ...

Denkst du, hier ist was überflüssig ?
Momentan läuft es fehlerfrei.

Server:

Code: Alles auswählen

float
port 5050
proto udp
dev tap0
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"
verb 3
keepalive 10 120
comp-lzo

Nach einer Woche testen mit 1000 verschiedenen Parametern träume ich schon von VPN
Weis nicht, ob da ne Route zu viel gesetzt ist...

In der Client-Config ist keine einzige Zeile mit ip oder route.

Nachtrag:
Was er auf jeden Fall braucht sind diese Beiden.
Sonst geht kein Ping.
Habe es ausgetestet.

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"

[grobit]

Das letzte Mal, als ich mich damit praktisch auseinander zusetzen hatte, war, als die ersten Vista-Kisten in Umlauf kamen, und da bereitete das Routen auf den Clients wegen UAC größeres Kopfzerbrechen.

Damals hat mir das Wiki des openvpn-Forums sehr geholfen (damals noch vpnforum.de). Ich habe also leider z.Zt. keine Installation mit diversen .conf's zur Hand. Was Du nutzt, ist die "Konfiguration eines Server-Multi-Client Tunnels mit Routing". Da steht auch der Hinweis mit dem statischen Routen im serverseitigen Subnetz.

route und route-gateway (ohne push "...") in der server.conf wären wohl nur notwendig, um aus dem serverseitigen Subnetz ins clientseitige Subnetz zuzugreifen. Ich vermute, Du hast es entfernt, und es tut trotzdem.

Versuch doch mal noch, das

Code: Alles auswählen

push "route-gateway 10.0.0.10 255.255.255.0"

ersatzlos zu entfernen.

Wenn es dann nicht geht, dann teste mal

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0 10.0.0.10"

oder

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10"

Ich meine herausgelesen zu haben, im clientseitigen Netz die gleiche Subnetzadresse (192.168.22.0/255.255.255.0) wie im serverseitigen Netz zu nutzen. Das könnte eventuell der Grund sein, dass es ohne push "route 192.168.22.0 255.255.255.0 10.0.0.10" oder push "route-gateway 10.0.0.10" nicht geht.

[Huck Fin]

Nun, wenn nichts gegen meine Version spricht (es läuft ja alles), lasse
ich das nun so und widme mich dem nächsten Projekt.

1000 Dank für deine Hilfe.