Hallo,
auch wenn es wahrscheinlich schon 100 Threads zu diesem Thema gibt, ich komme nicht weiter. Wir haben einen vServer angemietet, der als OpenVPN-Gateway dienen soll. In einem anderen Netzwerk steht nun ein Server. Dieser soll von Roadwarriorn, die sich zum vServer verbinden erreichbar sein. Es sieht also in etwa so aus:
[vServer]---[Internet]---[Router]---[Firewall mit portforwarding auf ...]---[Server1]
So sieht es, nun, kann die Firewall nicht als OpenVPN client fungieren, also ist zwischen Router und Firewall ein kleiner weiterer Rechner eingerichtet worden. Dieser soll nun die Brücke vom internen Netz, in dem der Router und die FW sind, zum vServer schlagen und alle durch sollen quasi alle Gerät darin erreichbar sein. Im Prinzip sollte es einfaches Net-to-Net sein, aber es funktioniert nicht.
Nun also schnell zu den IPs:
Die IP des tap-devices am Server ist: 10.0.0.1, die Netzmaske 255.255.255.0
IP des Routers: 192.168.1.1
AußenIP der FW: 192.168.1.9
IP des VPN-Clientrechners: 192.168.1.2
IP des tap-dev des VPN-Clientrechners: 10.0.0.4 (eig DHCP)
interne IP von Server1: 192.168.1.31
Die Verbindundung zum Server an sich funktioniert. Ich kann sogar die interne IP des Clientrechners (192.168.1.2) pingen, aber das wars dann auch. Weder den Testrechner, den ich zwischen Router und FW angebracht habe noch die FW selbst kann gepingt werden.
Die Routen dieses Testrechners sehen u.a. so aus:
Die Routen des VPN-Clients:
Die default Routen habe ich jetzt einmal weggelassen.
Die Config des Server ist:
Ich sitze schon Tage daran, und habe kein funktionierendes Ergebnis. Ich hoffe, die Beschreibung hier, war einigermaßen verständlich, und freue mich über Lösungsansätze!
Herzlichen Dank!
Edit: iptables habe ich jetzt vorübergehend mal deaktivert ...
auch wenn es wahrscheinlich schon 100 Threads zu diesem Thema gibt, ich komme nicht weiter. Wir haben einen vServer angemietet, der als OpenVPN-Gateway dienen soll. In einem anderen Netzwerk steht nun ein Server. Dieser soll von Roadwarriorn, die sich zum vServer verbinden erreichbar sein. Es sieht also in etwa so aus:
[vServer]---[Internet]---[Router]---[Firewall mit portforwarding auf ...]---[Server1]
So sieht es, nun, kann die Firewall nicht als OpenVPN client fungieren, also ist zwischen Router und Firewall ein kleiner weiterer Rechner eingerichtet worden. Dieser soll nun die Brücke vom internen Netz, in dem der Router und die FW sind, zum vServer schlagen und alle durch sollen quasi alle Gerät darin erreichbar sein. Im Prinzip sollte es einfaches Net-to-Net sein, aber es funktioniert nicht.
Nun also schnell zu den IPs:
Die IP des tap-devices am Server ist: 10.0.0.1, die Netzmaske 255.255.255.0
IP des Routers: 192.168.1.1
AußenIP der FW: 192.168.1.9
IP des VPN-Clientrechners: 192.168.1.2
IP des tap-dev des VPN-Clientrechners: 10.0.0.4 (eig DHCP)
interne IP von Server1: 192.168.1.31
Die Verbindundung zum Server an sich funktioniert. Ich kann sogar die interne IP des Clientrechners (192.168.1.2) pingen, aber das wars dann auch. Weder den Testrechner, den ich zwischen Router und FW angebracht habe noch die FW selbst kann gepingt werden.
Die Routen dieses Testrechners sehen u.a. so aus:
Code:
test1:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.0.0 U 0 0 0 eth1
link-local * 255.255.0.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
Die Routen des VPN-Clients:
Code:
vpnclient:~# route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.0 * 255.255.255.0 U 0 0 0 tap0
192.168.0.0 * 255.255.0.0 U 0 0 0 eth0
Die default Routen habe ich jetzt einmal weggelassen.
Die Config des Server ist:
Code:
port 443
proto tcp-server
mode server
tls-server
dev tap
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.254
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/cert.crt
key /etc/openvpn/easy-rsa/keys/key.key
client-to-client
dh /etc/openvpn/easy-rsa/keys/dh.pem
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.0.0. 255.255.0.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 6
route 192.168.1.0 255.255.255.0
Ich sitze schon Tage daran, und habe kein funktionierendes Ergebnis. Ich hoffe, die Beschreibung hier, war einigermaßen verständlich, und freue mich über Lösungsansätze!
Herzlichen Dank!
Edit: iptables habe ich jetzt vorübergehend mal deaktivert ...
Last edited by a moderator: