PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [OpenVPN] - Effektivere Subnetznutzung möglich?



MaverrickTM
18.11.12, 14:05
Hallo zusammen,

ich habe da mal eine kleine Frage zu OpenVPN.

Ich baue derzeit einen weiteren OpenVPN Server auf und versuche den zweiten etwas effizienter als den ersten zu machen. Die Hosts kommunizieren mittels Tun-Dev miteinander.

Derzeit ist es so, dass es ein 24-bit Subnetz (pool) gibt, woraus der Server die IP-Adressen vergibt. Das Subnetz wird in viele kleine 30-bit Subnetze aufgeteilt, sodass für jeden VPN-Client 4 IP-Adressen aus dem 24-bit Subnetz "verschwendet" werden.

Geht das nicht etwas effektiver? Bei vielen VPN-Clients ist das 24-bit Subnetz relativ schnell aufgebraucht...

Server-Konfig


port 1195
proto udp
dev tun

ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/vpn02.crt
key easy-rsa/keys/vpn02.key
dh easy-rsa/keys/dh1024.pem

server 10.0.2.0 255.255.255.0

ifconfig-pool-persist ipp.txt

client-config-dir ccd

push "dhcp-option DNS 10.0.0.101"
client-to-client
keepalive 10 120

comp-lzo

user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn/status.log
log-append /var/log/openvpn/openvpn.log
verb 3


Viele Grüße

Mav

TheDarkRose
18.11.12, 15:19
Warum bekommt jeder Client ein /30-Netz?

Am Server kannst du aber eh ein 10.0.0.0/8 Netz verwenden, musst dies nicht minimieren.

MaverrickTM
18.11.12, 15:57
Hallo,

ich habe noch ein wenig recherchiert... Hat was mit der Unfähigkeit von Microsoft zutun ptp-Links nutzen zu können. Nativ wird das von Linux ohne Probleme unterstützt, aber leider nicht von MS. Daher muss ein /30 Subnetz als workaround für diese Unfähigkeit verwendet werden. (http://openvpn.net/index.php/open-source/faq/77-server/273-qifconfig-poolq-option-use-a-30-subnet-4-private-ip-addresses-per-client-when-used-in-tun-mode.html)

Es gibt wohl eine Möglichkeit, solange nur Linux-Clients verwendet werden. Diese muss ich mal ausprobieren...

Zu Deiner Idee mit dem /8 Subnetz: Sicherlich würde das gehen aber nur weil die Ressourcen da sind, müssen sie ja nicht unbedingt verschwendet werden :) Ich brauch die anderen Subnetze für andere Sachen, daher würde ich so wenig wie möglich verschwenden wollen.


Ich konnte das Problem selbst lösen. Folgende Direktive ist hierbei hilfreich gewesen: --topology subnet

Wird, btw., auch von Windows untersützt!


Viele Grüße

Mav

mp3joker
01.02.13, 12:21
Hallo Mav,

ich binn auch auf der suche nach einer Lösung bez. des prob.

könntest du ein wenig genauer werden wass du an deiner config geändert hast.

Grüsse

Michael

MaverrickTM
04.03.13, 22:52
Sorry, hab keine Info bzgl. Deines Posts erhalten. Bin gerade nur zufällig drüber gestolpert.

In OpenVPN kannst Du verschiedene Topologien hinterlegen. Sprich, Du kannst bestimmen wie genau OpenVPN sein IP-Adresspool verteilen soll. Per Default wird zwischen jedem peer und Server ein /30er Subnetz erstellt.

Du Kannst jedoch in die Serverkonfig "topology subnet" aufnehmen und OpenVPN zerteilt das ihm zu verfügungstehende Subnetz nicht mehr in mehrere kleine. Alle Clients sitzen dann in dem Subnetz, dass Du OpenVPN zu Verfügung gestellt hast. Somit verschwendet OpenVPN keine IP-Adressen fürn Netzname und Broadcast mehr. Wird auch wunderbar von Win7 Unterstützt!


MfG Mav