Hallo @all

ich bin langsam am Verzweifeln; eingerichtet habe ich:
OVPNserver unter debian 4 rc3
Zertifikate alles soweit ok.
Firewall IPcop und Fritzbox mit deaktivierter Firewall; also alle Anfragen gehen weiter an den IPcop

zwischen IPcop und Fritz habe ich einen Switch; dort ist mein Test-PC für OVPN

überall 24Bit subnet mask
Lan FB-IPcop (rot): 152.168.0.0
FB=1
Router=254

Segment LAN (grün) 152.168.1.0
Router=254
OpenVPNserver=250

Tunnel durch Firewall (IPcop) ok

Server config:
-------------
local 152.168.1.250

mode server
tls-server

port 1194
proto udp

dev tap

# Die Server-IP-Adresse
ifconfig 10.10.0.1 255.255.255.0
# Dynamische IP-Adressen von 10.10.0.10 bis 100
ifconfig-pool 10.10.0.10 10.10.0.20 255.255.255.0
push "route-gateway 10.10.0.1"
push "route 152.168.1.0 255.255.255.0"
# nebenbei
# sind die beiden push-Befehl identisch mit ???
# push "route 152.168.1.0 255.255.255.0 10.10.0.1" ???

client-to-client
# damit soll man die clients hinter OVPN-server sehen
# funktioniert nicht
# oder fehlt etwas

# ist nötig wenn der Server via Client zugreifen will
# in ein anderes Segment
# route 152.168.0.0 255.255.255.0

# Die Pakete werden auf dieser Grösse gekapselt
#tun-mtu 1500
#1500 ist default warum 1492 ??? (aber auch nur so nebenbei)
tun-mtu 1492
fragment 1300
mssfix

# Pfad zu den Zertifikaten
ca /etc/ssl/vpn-ca.pem
key /etc/ssl/private/server_key.pem
cert /etc/ssl/Zertifikate/server_cert.pem
# Diffie-Hellmann Parameter
dh /etc/ssl/dh2048.pem

# Gleiche IP-Adresse in der nächsten Session
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Der Verschlüsselungs-Algorithmus
cipher aes-256-cbc
# Authentifikation
auth SHA1
#Kompression
comp-lzo

# Setzen der Rechte nach dem Verbindungs-Aufbau
user nobody
group nogroup

# Dies wird benötigt, da Benutzer nobody/group nobody
persist-key
persist-tun

status /etc/openvpn/openvpn-status.log

keepalive 20 120
verb 3


Client config
------------
client
# ist gleich tls-client und pull
# Festlegen als was fungiert wird
# tls-client und pull ist sozusagen redundant ???
tls-client
pull

# Die Server-IP-Adresse
remote 152.168.0.254 1194
port 1194
# ist sozusagen redundant
proto udp

dev tap
nobind

persist-key
persist-tun

#zu verwendende Zertifikate und Schlüssel
ca C:\\Applications\\OpenVPN\\config\\vpn-ca.pem
key C:\\Applications\\OpenVPN\\config\\Client1_key.pem
cert C:\\Applications\\OpenVPN\\config\\Client1_cert.pe m

# Verschlüsselung
cipher AES-256-CBC
# Authentifizierungsmethode
auth SHA1

tun-mtu 1492
fragment 1300
mssfix

mute 20
comp-lzo
verb 3

-----------------------------------------------------

Vom Client aus möglich:
ping 10.10.0.1 also den OpenVPNserver (vpn)
ping 152.168.1.250 also den OpenVPNserver (LAN)
ping 152.168.1.xyz geht nicht



auf client Seite:
---------------
Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VM Network Connection
Physical Address. . . . . . . . . : 00-08-02-14-03-5E
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 152.168.0.55
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 152.168.0.1
DHCP Server . . . . . . . . . . . : 152.168.0.1
DNS Servers . . . . . . . . . . . : 152.168.0.1
Primary WINS Server . . . . . . . : 151.168.1.22
Lease Obtained. . . . . . . . . . : Wednesday, March 11, 2009 7:03:32 PM
Lease Expires . . . . . . . . . . : Saturday, March 21, 2009 7:03:32 PM

Ethernet adapter Local Area Connection 43:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-29-BB-8C-F4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.10.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 10.10.0.0
Lease Obtained. . . . . . . . . . : Saturday, March 14, 2009 12:14:31 AM
Lease Expires . . . . . . . . . . : Sunday, March 14, 2010 12:14:31 AM



Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 152.168.0.1 152.168.0.55 20
10.10.0.0 255.255.255.0 10.10.0.10 10.10.0.10 30
10.10.0.10 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
152.168.0.0 255.255.255.0 152.168.0.55 152.168.0.55 20
152.168.0.55 255.255.255.255 127.0.0.1 127.0.0.1 20
152.168.0.254 255.255.255.255 152.168.0.1 152.168.0.55 1
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10 1
152.168.255.255 255.255.255.255 152.168.0.55 152.168.0.55 20
224.0.0.0 240.0.0.0 10.10.0.10 10.10.0.10 30
224.0.0.0 240.0.0.0 152.168.0.55 152.168.0.55 20
255.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 1
255.255.255.255 255.255.255.255 152.168.0.55 152.168.0.55 1

das mit push erhaltene gateway wird nicht in der ipconfig angezeigt, allerdings ist die Route
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10
ersichtlich aus dem route print Befehl

also müsste ich 152.168.1.xyz anpingen können

ich hatte auch schon add route probiert; verhielt sich wie der push Befehl: nur ping auf die 250.


Danke im Voraus


Gruss Dieter

Moin
Wenn Du CODE-Tags verwendet hättest, ließe sich der wust an Daten leichter lesen.

Anyway. Wenn Du OpenVPN im Routing-Modus betreibst (tust du), muss das Openvpn-Netz ein eingenes Subnetz bekommen.

Alternative: Du verwendest den Bridging-Modus. Das ist auf der OpenVPN Webseite eine passende Doku vorhanden. Und wenn DU dich genau dran hälst, funktioniert das dann auch.

Hi @all

ok, ich sehe es auch ein; ist ein bischen schwer lesbar; war mein erster Versuch, sorry
Ich schreibe, probiere, kopiere es nochmal um, so dass es besser lesbar wird und kürze die configs aufs Minimum





Firewall IPcop und Fritzbox mit deaktivierter Firewall;
also alle Anfragen gehen weiter an den IPcop

zwischen IPcop und Fritz habe ich einen Switch;
dort ist mein Test-PC für OVPN

überall 24Bit subnet mask

Lan FritzBox-IPcop (rot): 152.168.0.0
also mein Internetbereich aus dem ich eine OVPN-Verbindung aufbauen will
FritzBox=152.168.0.1
Router=152.168.0.254

Segment LAN (grün) 152.168.1.0
Router=152.168.1.254
OpenVPNserver=152.168.1.250

Tunnel durch Firewall (IPcop) ok






Server config:
-------------


local 152.168.1.250
mode server
tls-server
port 1194
proto udp

dev tap

# Die Server-IP-Adresse
ifconfig 10.10.0.1 255.255.255.0
# Dynamische IP-Adressen von 10.10.0.10 bis 100
ifconfig-pool 10.10.0.10 10.10.0.20 255.255.255.0
push "route-gateway 10.10.0.1"
push "route 152.168.1.0 255.255.255.0"

client-to-client

tun-mtu 1492
fragment 1300
mssfix

# Pfad zu den Zertifikaten ok (gekürzt)
ca
key
cert
dh

# dies nur der Vollständigkeit halber
ifconfig-pool-persist /etc/openvpn/ipp.txt
cipher aes-256-cbc
auth SHA1
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
keepalive 20 120
verb 3





Client config
------------


client
# ist gleich tls-client und pull (weiss nicht so genau?)
tls-client
pull

remote 152.168.0.254
port 1194
proto udp

dev tap
nobind

persist-key
persist-tun

#Zertifikate und Schlüssel ok (gekürzt)
ca
key
cert


# dies nur der Vollständigkeit halber
cipher AES-256-CBC
auth SHA1
tun-mtu 1492
fragment 1300
mssfix
mute 20
comp-lzo
verb 3





ipconfig vom client


Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VM Network Connection
Physical Address. . . . . . . . . : 00-08-02-14-03-5E
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 152.168.0.55
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 152.168.0.1
DHCP Server . . . . . . . . . . . : 152.168.0.1
DNS Servers . . . . . . . . . . . : 152.168.0.1
Primary WINS Server . . . . . . . : 151.168.1.22
Lease Obtained. . . . . . . . . . : Wednesday, March 11, 2009 7:03:32 PM
Lease Expires . . . . . . . . . . : Saturday, March 21, 2009 7:03:32 PM

Ethernet adapter Local Area Connection 43:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Win32 Adapter V8
Physical Address. . . . . . . . . : 00-FF-29-BB-8C-F4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.10.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
#
ist ja leer, da gepusht
#
DHCP Server . . . . . . . . . . . : 10.10.0.0
Lease Obtained. . . . . . . . . . : Saturday, March 14, 2009 12:14:31 AM
Lease Expires . . . . . . . . . . : Sunday, March 14, 2010 12:14:31 AM





route print vom client



Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 152.168.0.1 152.168.0.55 20
10.10.0.0 255.255.255.0 10.10.0.10 10.10.0.10 30
10.10.0.10 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
152.168.0.0 255.255.255.0 152.168.0.55 152.168.0.55 20
152.168.0.55 255.255.255.255 127.0.0.1 127.0.0.1 20
152.168.0.254 255.255.255.255 152.168.0.1 152.168.0.55 1
152.168.1.0 255.255.255.0 10.10.0.1 10.10.0.10 1
#
die gepushte Route sollte auch ins Lan hinter dem OVPNserver führen
#
152.168.255.255 255.255.255.255 152.168.0.55 152.168.0.55 20
224.0.0.0 240.0.0.0 10.10.0.10 10.10.0.10 30
224.0.0.0 240.0.0.0 152.168.0.55 152.168.0.55 20
255.255.255.255 255.255.255.255 10.10.0.10 10.10.0.10 1
255.255.255.255 255.255.255.255 152.168.0.55 152.168.0.55 1
Default Gateway: 152.168.0.1



Vom Client aus möglich:
ping 10.10.0.1 also den OpenVPNserver (vpn)
ping 152.168.1.250 also den OpenVPNserver (LAN)
ping 152.168.1.xyz geht nicht



das mit push erhaltene gateway wird nicht in der ipconfig angezeigt, allerdings ist die Route
152.168.1.0/24 über gw 10.10.0.1 auf Interface 10.10.0.10
ersichtlich aus dem route print Befehl

also müsste ich 152.168.1.xyz anpingen können

ich hatte auch schon add route probiert; verhielt sich wie der push Befehl: nur ping auf 152.168.1.250.


Danke im Voraus


Gruss Dieter