PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN - Probleme mit IP-Adressen?



Dj-SPm
08.11.07, 09:29
Hallo,

ich habe noch 2-3 Fragen zu OpenVPN. Hier erst nochmal mein Szenario:

Ich habe 2 Netzwerke. Ein Netzwerk A mit 192.168.2.0 / 255.255.255.0, sowie das Netzwerk B mit dem gleichen IP-Rang und Maske. Nur diese Netzwerke sind 20km auseinander - also absoult getrennt.

In dem Server-Netzwerk (Netzwerk A):
Server-IP: 192.168.2.1
Router: 192.168.2.2

So, jetzt habe ich nach dem hier zu findenen Tutorial den VPN-Server eingerichtet. Der Server hat folgende config:



dev tun
ifconfig 10.1.0.1 10.1.0.2
up ./server.up
tls-server
mode server
server 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
cipher AES-256-CBC
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
; port 1194
; user nobody
; group nogroup
status /etc/openvpn/status.log
; comp-lzo
; ping 15
verb 3


Jeder Client hat folgende Konfiguration:



dev tun
remote [DynDNS-Adresse]
pull
tls-client
port 1194
comp-lzo

cipher AES-256-CBC

ca c:\\Programme\\OpenVPN\\config\\ca.crt
cert c:\\Programme\\OpenVPN\\config\\sascha.crt
key c:\\Programme\\OpenVPN\\config\\sascha.key

verb 3


So, jetzt meine Fragen.

Wenn ich den OpenVPN starte, dann ist der Server IM Netzwerk nur noch über VPN erreichbar, ist das normal / richtig? Müssen alle User auch intern einen VPN Client benutzen?

Wenn ich dann auch noch den Client starte und mich NICHT IM NETZWERK A befinde, sondern im Netzwerk B, kommt eine erfolgreiche Verbindung zu stande und ich kann noch im Internet surfen. Doch es funktioniert kein Ping.

Ich habe im Router in Netzwerk A einen Virtual Server (Port forwarding) mit der Regel:

public port 1194
private port 1194
dest ip: 192.168.2.1 (Server im Netzwerk A)

Meine server.up ist genau die gleiche, wie sie im Tutorial steht. Allerdings steht im Tutorial eine seltsame IP-Adresse (10.0.1.0) statt (10.1.0.0). Ist das ein Fehler? Selbst wenn ich die, meiner Meinung nach, richtige IP dort eintrage, bekomme ich keinen Ping. Mache in mit den IPs was falsch?



#!/bin/bash
route add -net 10.0.1.0 netmask 255.255.255.0 gw $5


Muss ich beim Client noch zwingend eine Route eintragen (Clients sind alle Windows XP - Bei Vista gibt's da auch ein Problem bei automatischen setzen der Route, da keine Rechte vorhanden sind, obwohl ich die cmd.exe mit Admin-Rechten starte)

Wow... das war's erstmal. Ich hoffe hab habe alles genau genug beschrieben

Danke im Voraus!

honkstar
08.11.07, 14:16
Hallo,

ich weiss nicht, ob ich dein Problem schon richtig verstanden habe, aber was mir auffällt, ist, dass du für dein VPN-Netz und dein physikalisches Netz den gleichen Bereich 192.168.2.0/24 nimmst. Sollte laut Howto nicht sein:

For example, suppose you use the popular 192.168.0.0/24 subnet as your private LAN subnet. Now you are trying to connect to the VPN from an internet cafe which is using the same subnet for its WiFi LAN. You will have a routing conflict because your machine won't know if 192.168.0.1 refers to the local WiFi gateway or to the same address on the VPN..
Dann können deine Clients ja auch nicht wissen, was sie wohin routen sollen.

HTH
Daniel

Dj-SPm
08.11.07, 16:25
Ich habe das Problem mittlerweile gelöst, indem ich von TUN auf TAP mit Ethernet Bridge umgestiegen bin. Allerdings habe ich immernoch kein Zugriff auf das Internet, wenn der OpenVPN aktiv ist. Dafür können die PCs sich im Netz auch ohne VPN "unterhalten" und wenn sie wollen erfolgreich eine Verbindung aufbauen.

Nur wie mache ich das, dass ich auch noch internet habe? Wie kann ich zudem bei der TAP-Method (bzw. generell) dem VPN-Netz eine andere IP-Range geben?

Danke

BigDigger
28.11.07, 16:02
Gleiches Problem, auch noch keine Lösung gefunden - vielleicht hat jemand eine Idee...

Ich sitze daheim am XP-Rechner und mach eine VPN-Verbindung zu meinem Brötchengeber auf (dort: OpenVPN Server). Der TAP bekommt bei mir eine 192.168.1.x-IP, der dortige Server ist via 192.168.1.y erreichbar. Mein eigenes Netz hat 192.168.0.x. Wenn ich ins Internet gehen, Mails abrufen will etc., muss ich derzeit das VPN beenden. Suboptimal. Ich brauche nebenbei die Internetverbindung, und das am besten nicht über den Internetzugang meines Brötchengebers, denn der ist da unterdimensioniert. Wie kriege ich das hin, das alle Anfragen an das 192.168.1.x-Netz über das VPN gehen und alle anderen Anfragen Richtung Internet? Ich nehme an, über eine Route-Anweisung in der Client-Konfiguration, aber ich bin mir unschlüssig, wie die aussehen muss... :confused:
Was ich immerhin geschafft hab, ist, meine Fritz!Box zu erreichen...

Meine Client-Conf sieht so aus (in eckigen Klammern stehen Werte, die ich nicht öffentlich poste):

client
dev tap
ifconfig 192.168.1.[localtapip] 255.255.255.0
proto udp
remote [Server-Adresse] [Port]
resolv-retry infinite
nobind
persist-key
persist-tun
tls-remote [VPN-CA-CN]
ca [CA-Zertifikat]
cert [Client-Zertifikat]
key [Client-Schlüssel]
route 192.168.1.0 255.255.255.0 192.168.1.[localtapip]
route 192.168.0.0 255.255.255.0 192.168.0.[locallanip]
auth SHA1
comp-lzo
verb 3

Hat jemand einen Hinweis für mich?

BigDigger
28.11.07, 17:36
Schon erledigt - ich war schlicht doof... :rolleyes:
Der "Zauber" liegt in dieser Zeile:


route 0.0.0.0 0.0.0.0 192.168.0.[routerip]