Iptables für Openvpn konfigurieren

denndsd

New Member
Guten Abend,

Ich brauche mal eure Hilfe.
Ich habe meinen OpenVPN Server wieder in betrieb genommen,
Dort habe ich ein VPN Netz.
10.211.13.0/16
Ebenfalls vorhanden, ist ein VM netz.
10.211.10.0/16

Bin Ich mit dem VPN Verbunden, so möchte ich gerne von meinem 13. Netz auf die VMs via SSH zugreifen können.
Mir fehlt nur die nötige Iptables regel.
Kann mir da jemand weiterhelfen :D

Danke
 

danton

Debian User
Dort habe ich ein VPN Netz.
10.211.13.0/16
Ebenfalls vorhanden, ist ein VM netz.
10.211.10.0/16
Das kann so nicht funktionieren. Mit der 16er Netzmaske beschreiben beide das gleiche Netz, d.h. es findet kein Routing statt. Wenn du in Maske auf 24 änderst, sollte es ausreichen, die Route für das VM-Netz per OpenVPN-Konfig zu pushen - iptables sind dafür eigentlich nicht notwendig (außer du hast andere FIrewall-Regeln, die das blocken, dann hängt es aber von denen ab, was du einstellen mußt)
 

denndsd

New Member
Aha ISt ja interesannt,
Das geht auch nicht bei 2x 24 Netz?
ISt ja interesannt.
Auf der Arbeit haben wir ein VPN Netz /24 und ein Server netz /24.
Von dort kann ich sowol auf die VPN Netz als auch ins Server Netz.
Oder geht das nur beim 16 ?
 

danton

Debian User
Was du oben beschrieben hast, ist für beide das gleiche Netz bei einer 16er Netzmaske, nämlich die 10.211.0.0/16 - d.h. alles, was mit 10.211.* anfängt ist im gleichen Netz und es erfolgt kein Routing über ein Gateway. Wenn beide Netze eine 24er Netzmaske haben, dann sind sie unterschiedlich und das Routing funktioniert. Falls du unbeding zwei 16er Netze verwenden willst, geht das natürlich auch, aber dann müssen diese sich an der zweiten Stelle in der IP unterscheiden.
Theoretisch könntest du auch eine Netzwerkbridge betreiben, allerdings würde ich das in Verbindung mit VPN eher von abraten, da dadurch die ganzen Broadcasts deines Servernetzes auch ins VPN-Netz geblasen werden und das kann gerade bei langsamen Verbindungen (wie sie bei VPN schon mal auftreten können) durchaus einiges an Bandbreite nehmen und Latenzen erhöhen.
Ach ja, und was du natürlich auch noch benötigst, ist eine Route auf deinem Default-Gateway für dein VPN-Netz zum VPN-Server - sofern dein VPN-Server nicht sowieso das Default-Gateway ist.
 

denndsd

New Member
Hallo Zusammen,

Jetzt verstehe Ich .
Klar beide beginnen mit 10.211
Okay. Dann ist mir das natürlich klar.
Ich habe das VPN Netz in ein /24 Netz umgewandelt.
Und jetzt einfach

HTML:
push "route 10.211.10.0 255.255.255.0"
oder fehlt da noch was ?

Viele Grüße

Christian Wolfseher
 

danton

Debian User
Nur wenn dein Server-Netz auch ein 24er Netz ist. Wenn du dein Server-Netz nicht geändert hast, muß die Route auf 10.211.0.0 255.255.0.0 lauten und dein VPN-Netz darf nicht mit 10.211 anfangen.
Bitte mal ein paar Grundlagen zu IP-Netzen, Subnets und Netzmasken aneignen - Google hilft. Zwei Netze dürfen sich durch ihre Subnet-Maske nicht überlappen, weder ganz, noch teilweise.
 
Top