Frage zu OpenVPN Routing

[Huck Fin]

Hi, ich mal wieder...
Wenn ich eine VPN Verbindung mit einem entfernten Server aufbaue, kann ich nicht alle Geräte im fremden Netz anpingen.
Hier mal meine Server.conf

Code: Alles auswählen

float
port 5050
proto udp
dev tap0
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"
verb 3
keepalive 10 120
comp-lzo

Code: Alles auswählen

remote server
dev tap
proto udp
port 5050
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\Zerti\\ca.crt 
key C:\\Programme\\OpenVPN\\Zerti\\pc2.key 
cert C:\\Programme\\OpenVPN\\Zerti\\pc2.crt
tls-auth C:\\Programme\\OpenVPN\\Zerti\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo

Ich sehe nur teilweise entfernte Geräte.
Was muss ich denn noch einstellen ?
ip routing habe ich in der
/etc/sysctl.conf
aktiviert.

[orcape]

Hi Huck Fin,

Wenn ich eine VPN Verbindung mit einem entfernten Server aufbaue, kann ich nicht alle Geräte im fremden Netz anpingen.

...die Glaskugel sagt, Du sprichst hier von OpenVPN.

ip routing habe ich in der
/etc/sysctl.conf
aktiviert.

..schon verkehrt, Du nutzt das "TAP-Device" und routest nicht, sondern hast eine Bridge.
TAP bedeutet gleiche Netze auf beiden seiten des Tunnels.
Weiter, client-to-client ist für Multiclientnetze, hier wohl auch nicht zutreffend?
Wenn Du Hilfe brauchst, bitte einfach mal etwas mehr dazu posten, incl. ein kleines Bildchen Deines Netzaufbaus, Hardware, Routingtabellen etc.etc.
...sonst ist das nur Rätselraten...
Gruß orcape

[Huck Fin]

Wozu Glaskugel ?
Das es sich um OpenVPN handelt steht doch in der Überschrift. !!

Habe die Frage vermutlich falsch formuliert.
Ich habe einen DSL-Router
Dort ist eine static Route eingetragen.

Code: Alles auswählen

Destination IP 10.0.0.0 (mein VPN Netz)
Mask 255.255.255.0
Default Gateway 192.168.22.2 (Die LAN IP meines VPN-Servers)

Somit kann der VPN Client alle 192.168.22.x IPs im Server Netz anpingen.

Nun habe ich einen neuen Router, bei dem ich keine statische Route eintragen kann.
Kann ich das dann in meiner OpenVPN Config einbauen, dass die IPs auf 192.168.22.x von meinem Client aus erreichbar sind ?

[orcape]

Das es sich um OpenVPN handelt steht doch in der Überschrift. !!

Sorry, hätte die wohl noch mal lesen sollen...

Nun habe ich einen neuen Router, bei dem ich keine statische Route eintragen kann.

Wenn Dein OpenVPN-Client hinter diesem DSL-Router sitzt und Du das Servernetzwerk erreichen willst, brauchst Du keine Route einrichten.
Das regelt alles die Server-conf mit "push route ....." auf das Server-LAN und die Rules des Server-Routers.
Gruß orcape

[Huck Fin]

Nein der Server sitzt hinter dem Router.
Er ist im 192.168.22.x LAN mit der ip 192.168.22.2
VPN IP am Server ist 10.0.0.10
Ich komme per VPN mit 10.0.0.20 über TAP hinein.
Mein PC hat die IP 192.168.22.5
Nun kann ich den Server von meinem Clienten anpingen, aber nicht die PCs in seinem Netz.
Dazu war der Eintrag im DSL-Router im Servernetz...
Static Route
Dest 10.0.0.0
Default Gateway 192.168.22.2

[orcape]

Wenn der Router für das Server-Netz zuständig ist, muss natürlich eine Route gesetzt werden.
Oder Du regelst das mit Iptables, sonst blockt die Firewall des Routers.
Da wirst Du wohl für den Router eine Alternative suchen müssen.
Jeder 15-30 € Router, der sich mit DD-WRT/OpenWRT flashen lässt, kann das, alternativ ein Mikrotik RB750 für 35.-€.
Gruß orcape

[Huck Fin]

Wie mache ich das denn mit iptables ?
Ich hatte schon versucht mit

iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

aber das hat nichts gebracht.

[orcape]

Z.B. so auf einem Router mit DD-WRT Firmware...

Code: Alles auswählen

iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun1 -j ACCEPT
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT

Hier ist aber das TUN-Device im Spiel und br0 ist das LAN.
Du solltest, wenn Du routen willst, das TAP-Device vermeiden, es sei denn es ist zwingend notwendig.
Leider hast Du mir zu wenig über Deine Netzstruktur verraten, um sinnvoll helfen zu können.
Gruß orcape