Hallo,

Ich versuche mich hier gerade an einem VPN. Ich habe einen Testaufbau mit IPsec / FreeSwan auf der Linux Seite als Gateway und SSH Sentinel auf dem Client PC. Das sieht dann so aus:

Roadwarrior (192.168.1.13/ W2K SSHSentinel / Fraggy)
|
|
|
(eth0 192.168.1.67)
|
FreeSWan auf Linux(suse8.1 / Matrix)
|
(eth1 10.10.10.1)
|
|
(clients 10.10.10.x)

Mein ipsec.conf für die Verbindung sieht dann so aus:

conn matrix-daniel
leftid=matrix
leftcert=matrix.pem
left=192.168.1.67
leftsubnet=10.10.10.0/24
right=%any
rightid=fraggy
rightcert=fraggy.pem
auto=add
keyingtries=1
pfs=yes

Die Verbinfung klappt. Ich kann den Server unter der 10.10.10.1 Adresse erreichen. Aber die Clients dahinter nicht.

Kann mir jemand sagen was ich da falsch gemacht habe? Muss ich um die anderen clients ansprechen zu können eine Virtuelle IP haben? (das mit dem DHCP über den Tunnel will nämlich auch noch nicht)

Wäre super klasse wenn ihr mir helfen könntet (eier hier nämlich schon 2 tage dran rum)

Danke
Fraggy

Das routing Problem hat sich erledigt:
Ip Forwarding auf derm Gateway war nicht aktiviert. (das muss mann ja erst mal wissen ;) )

Jetzt ist da noch das Problem mit dem DHCP über VPn. Hat da vielleicht noch jemand erfahrungen zu ?

Bin auch grad bei der Geschichte und möchte den Thread wiederbeleben:

Ich stelle VPN über pptpd her ..

Der Client bekommt z.b. die Adresse 192.168.1.20 Der Server hat 192.168.1.21 auf ppp1 und 192.168.1.100 auf eth0 -> ins LAN.
Jetzt ist klar - wenn ein Rechner 192.168.1.1 angesprochen wird, dann antwortet der einfach ins Netzwerk hinein. -> Aber der Client ist ja physisch nicht da -> bekommt die Antwort nicht :(

Mit einem route add 192.168.1.20 gw 192.168.1.100 gehts dann.
Hab mir das einfach so nicht vorgestellt.

Frage -> Ist das einfach so, und man muss dann halt im Netzwerk extra berücksichtigen, oder hab ich da was falsch verstanden/falsch gemacht.

Für verschiedene Netze brauchst du auch verschiedene Subnetze, ausser du fügst die Host-Route hinzu dann geht das natürlich. Aber auch nur wenn die Host-Route vor der Netzroute vom lokalem Subnet steht.

Grüsse, Stefan

Das ist klar!
Das heisst aber auch, dass ich per VPN einen Rechner eben nicht ins eigene LAN-Subnetz einbinden kann. Ich kann den Client zwar eine IP des Subnetzes zuteilen, aber das ganze funktioniert so nicht, weil ja die Routen trotzdem über den Router gehen müssen. - Ist klar und logisch - wie gesagt - physisch hängt ja der Rechner nicht im Subnetz - also kanns auch nicht funktionieren. Die VPN-Rechner brauchen offensichtlich ein anderes Subnetz als die LAN-Rechner ..

Irgendwie habe ich die Frage nicht ganz verstanden ...

Also du hast auf ppp1 auch eine 192.168er Adresse ... wählst du dich also in ein anderes privates Netz ein ???

VPN's werden im Normalfall über das Internet gemacht, was wiederum bedeutet das das externe Interface auch eine anderes Subnet als das interne hat ... ist ja logisch denn 2 Nic's im gleichen Netz machen ja auch recht wenig Sinn :ugly:

Beispiel :

192.168.1.1 - 195.1.2.3 -------- 196.1.2.3 - 192.168.2.1

Das Zielnetz braucht natürlich ein anderes Subnet als das LAN da ja sonst die Pakete nicht an den Router gesendet werden sondern nur ins eigene Netz

LAN 1 hat also 192.168.1/24 und LAN 2 192.168.2/24

Das Zielnetz braucht natürlich ein anderes Subnet als das LAN da ja sonst die Pakete nicht an den Router gesendet werden sondern nur ins eigene Netz

Genau darum ging es ;) -- Habs mittlerweile schon kapiert

-- Natürlich, um dem "Berg" um den "Tunnel" zu bauen, ist natürlich das Internet da ... das ist klar.

War in der Annahme, dass ich einen Rechner aus dem Internet einfach ins LAN einbauen kann -- gleicher Adressbereich -- und pptpd das dann auf wunderbare Weise meistert.

Hab mir sowas ausgedacht wie :
ptp 192.168.1.20 <-> 192.168.1.23 und z.b. eth1 (192.168.1.100) am Server/Router nimmt dann auch alles für 192.168.1.20 entgegen. --- das spielts aber nicht

Mittlerweile ist es klar - du musst dafür sorgen, dass die VPN-Rechner in einem anderen Netz liegen als die LAN-Rechner, damit die LAN-Rechner ihre Anfragen über den Router schicken ...

btw. .. bei mir (Österreich -ADSL) ist das ein Tunnel im Tunnel -- Ich bau einen Tunnel zw. 10.0.0.1 und 10.0.0.138 (ADSL-Modem) durch den das Internet läuft (ppp0) und da noch einmal durch ppp1 -- ich weiss, klingt schräg, wenn man das nicht vor Augen hat, erleichtert einem aber auch nicht grad das tunneln ;)

Das schaut konkret so aus:
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.bbb.ccc.ddd P-t-P:172.19.95.138 Mask:255.255.255.255

-> das ist mein Internet ;)

Hoffe, jetzt habe ich alle verwirrt - darf aber auch alle entwarnen - ich hab das einmal kapiert ;)

Danke fürs Mitdenken.