PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN: Zwei Netze mit gleicher IP-Range



BigDigger
07.01.08, 11:45
Hallo, liebe Leute!

Ich blicke nicht mehr durch. Seit Wochen (!) frickle ich mich durch verschiedenste Tutorials und HowTos zum Thema OpenVPN und versuche damit, endlich eine lauffähige Verbindung zu meinem Brötchengeber hinzukriegen. Vergeblich (logisch, sonst würd ich hier nicht schreiben ;)). Vielleicht kann mir ja jemand den entscheidenden Klaps geben, warum ich das nicht hinbekomme (abgesehen von mit der Zeit weniger gewordenem Durchblick OpenVPN betreffend :rolleyes: ).

Konfiguration (wohl das größte Hindernis):

Heimnetz: 192.168.1.0/24
DSL-Router: 192.168.1.254

Firma:
Netz 192.168.1.0/24
DSL-Router: 192.168.1.254
VPN-Gateway (interne IP): 192.168.1.200
Firmen-Fileserver: 192.168.1.5
DynDNS-Adresse firmenseitig vorhanden und funktionierend
Firmen-Notebook (wird sowohl zuhause als auch in der Firma verwendet): 192.168.1.26

Eigentlich ist das, was ich will, ganz simpel:
[HEIMPC]<==[HEIMDSL-ROUTER]==[VPN]==[FIRMENDSL-ROUTER]==>[FIRMEN-VPN-GATEWAY]-->[FIRMEN-FILESERVER]

Ich hab das jetzt schon mit mehreren Konfigurationen probiert.
In Versuch 1 kam ich zwar mit Ping zum VPN-Gateway durch, aber alles dahinter bekam ich nicht (da war mein Lösungsansatz, für's VPN eine eigene IP-Range zu vergeben, 192.168.2.0/24, und das Gateway war mit 192.168.2.200 anpingbar, aber nichts dahinter).
Bei Versuch 2 kriege ich zwar eine Verbindung zum VPN-Gateway, aber Ping ist unmöglich.

(Wenn die Confs etwas chaotisch aussehen, bitte nicht wundern)

openvpn_ssl.conf (Versuch 1):

port 1194
proto udp
mode server
tls-server digitalSignature, keyAgreement
dev tap
ifconfig 192.168.2.200 255.255.255.0
ifconfig-pool 192.168.2.220 192.168.2.229
ca [CA-Zertifikat]
cert [Server-Zertifikat]
key [Server-Schlüssel]
dh [Diffie-Hellmann-Parameter]
ifconfig-pool-persist ipp.txt
push "route-gateway 192.168.2.200"
route 192.168.2.0 255.255.255.0 192.168.2.200
route 192.168.1.0 255.255.255.0 192.168.1.200
client-to-client
keepalive 10 120
auth SHA1
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3

firma.ovpn (Versuch 1):

client
dev tap
ifconfig 192.168.2.220 255.255.255.0
proto udp
remote [DynDNS-Adresse VPN-Gateway] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tls-remote [Gatewayname gem. Zertifikat]
ca [CA-Zertifikat]
cert [Userzertifikat]
key [Userkey]
auth SHA1
comp-lzo
persist-key
persist-tun
verb 3

openvpn_ssl.conf (Versuch 2):

dev tap
proto udp
port 1194
mode server
tls-server digitalSignature, keyAgreement
server-bridge 192.168.2.0 255.255.255.0 192.168.2.220 192.168.2.229
ca [CA-Zertifikat]
cert [Serverzertifikat]
key [Serverkey]
dh [Diffie-Hellmann-Parameter]
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tun-mtu 1500
fragment 1300
mssfix
auth SHA1
cipher aes-256-cbc
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3

firma.ovpn (Versuch 2):

client
dev tap
proto udp
remote [DynDNS-Adresse VPN-Gateway] 1194
nobind
route 192.168.2.0 255.255.255.0 192.168.2.200
route 0.0.0.0 0.0.0.0 192.168.1.254
route-gateway 192.168.2.200
pull
resolv-retry infinite
tls-remote [VPN-Gatewayname gem. Zertifikat]
tls-client
ca [CA-Zertifikat]
cert [Userzertifikat]
key [Userkey]
tun-mtu 1500
fragment 1300
mssfix
auth SHA1
comp-lzo
cipher aes-256-cbc
keepalive 10 120
verb 3

Zusatzinfos:
Heimrechner mit XP
Firmen-"Fileserver" ist XP-Arbeitsstation
VPN-Gateway ist OpenSuSE 10.3

Kann mir bitte jemand sagen, an welchen Stellen ich zu doof war, um zu verstehen, was ich tat? :rolleyes:

himbeere
07.01.08, 11:54
Heimnetz: 192.168.1.0/24

Firma:Netz 192.168.1.0/24

Was immer Du da zusammenbastelst, /das/ geht schoma ganich.

bla!zilla
07.01.08, 11:57
Doch, mittels Bridge. Aber schön ist das nicht. Ich würde auch eines der beiden Subnetze ändern. Mit einer halbwegs intelligenten Firewall auf dem Weg, könnte man auch ein zweiseitiges NAT basteln. Aber das ist noch ekeliger.

BigDigger
07.01.08, 12:03
Ich würde auch eines der beiden Subnetze ändern.

Noch unschöner, dann muss ich mein gesamtes Heimnetz umkonfigurieren und jedesmal, wenn ich mit dem Firmen-NB von daheim arbeite, die IP ändern...

Stichwort Bridging - da bin ich noch nicht hintergestiegen. (Versuch 2 sollte in die Richtung gehen, war aber offensichtlich noch nicht ausreichend...)

bla!zilla
07.01.08, 12:09
DHCP ist das Stichwort. Das ist der einzige Grund warum ich zu Hause DHCP einsetze. Statische IPs sind einfach nur lästig und dank DHCP Reservierung auch kein Problem. Bezüglich Bridging schau dir das (http://openvpn.net/bridge.html) mal an.

komaii
07.01.08, 12:43
Ich bin zu faul zum lesen gerade, aber meine funktioniert immer:
http://www.komaii.com/linux/openvpn-on-SuSE10.0/index.html

lg,
komaii

himbeere
07.01.08, 14:38
Doch, mittels Bridge.

Oh, ah, was es nich alles gibt.

framp
07.01.08, 19:39
Ich bin zu faul zum lesen gerade, aber meine funktioniert immer:
http://www.komaii.com/linux/openvpn-on-SuSE10.0/index.html

lg,
komaii
Auch mit identischen Subnetzen an den jeweiligen VPN Tunnel Enden?