Hallo,
ich habe bei mir das Subnet 192.168.171.0 in Verwendung. Jetzt möchte ich gerne meinen OpenVPN-Server so konfigurieren, dass er den eingewählten clients direkt eine IP aus diesem Netzwerk vergibt. Mit ipconfig-pool habe ich das so eingerichtet und auch dem server selbst eine VPN-IP in diesem Subnet gegeben.

Der Client kann sich jetzt auch einwählen und bekommt eine IP im virtuellen Subnet (welches ja meinem richtigen entspricht) - allerdings kann ich gegenseitig nichts anpingen.

Ist das überhaupt möglich? oder muss ich bei einem TAP-Device ein zweites Subnet haben? Wenn ja wie schaut es dann mit routing aus? Habe schon jede Menge versucht aber hat nichts geklappt.

Wenn erwünscht poste ich die server.ovpn/client.ovpn

Danke

Wenn erwünscht poste ich die server.ovpn/client.ovpn


ja, das ist erwuenscht.

und sonstige einstellungen...
forward, firewall,route,....

schon mal versucht ein bridging zwischen dem tap und dem eth das LAN's zu machen?
dann hast du die VPN-Clients im internen Netzwerk und der DHCP des LAN kann die VPN-Clients auch verwalten.

Genau diese Konfiguration hatte ich früher, habe aber aus verschiedenen Gründen eine andere Strategie gewählt.

mfg.
blubbersuelze :p

ich würde eine push route machen und ggf eine rückroute am default gateway - ich löse das so und bin sehr zufrieden!


lg
Silvan

Hallo,
ich habe bei mir das Subnet 192.168.171.0 in Verwendung. Jetzt möchte ich gerne meinen OpenVPN-Server so konfigurieren, dass er den eingewählten clients direkt eine IP aus diesem Netzwerk vergibt. Mit ipconfig-pool habe ich das so eingerichtet und auch dem server selbst eine VPN-IP in diesem Subnet gegeben.

Gibt es einen bestimmten Grund, warum Du dem VPN nicht ein eigenes Subnetz spendieren möchtest? Das kannst Du dann ganz simpel routen.


Der Client kann sich jetzt auch einwählen und bekommt eine IP im virtuellen Subnet (welches ja meinem richtigen entspricht) - allerdings kann ich gegenseitig nichts anpingen.

Das ist klar: Der VPN-Client erwartet, dass er die Rechner in Deinem LAN in seinem Subnetz sind, sendet also munter ARP-Pakete in den Tunnel, die dann bei Deinem Server stecken bleiben, weil Tunnel und LAN keine gemeinsame Broadcast-Domain bilden. Was Du tun musst, ist das OpenVPN auf einem TAP-Device, statt auf einem TUN-Device aufsetzen, und Ethernet-Device des Servers mit dem TAP-Device bridgen. Dadurch bilden Dein VPN-Tunnel und Dein lokales Netz eine Broadcast-Domain, die ARP-Pakete aus dem Tunnel kommen im LAN an und jeder sieht jeden.

Die andere Möglichkeit wäre, openVPN auf einem TUN-Device aufzusetzen und des Server ProxyARP machen lassen, damit wird der Tunnel für die meisten IP-basierten Protokolle ebenfalls transparent und Du sparst eine Menge Broadcast-Traffic und den Ethernet-Overhead auf dem Tunnel.


Ist das überhaupt möglich? oder muss ich bei einem TAP-Device ein zweites Subnet haben? Wenn ja wie schaut es dann mit routing aus? Habe schon jede Menge versucht aber hat nichts geklappt.

Wenn erwünscht poste ich die server.ovpn/client.ovpn

Tu das. Wichtig wäre auch zu wissen, welche Distribution Du einsetzt und wie die Netzwerk-Konfiguration aussieht (/etc/network/interfaces unter Debian)