[Frage] [Freetz] 7390 OpenVPN Client --> Frage zum Routing

[Tecnetium]

Hallo,

habe heute meine 7390 gefreezed und u.a. OpenVPN ingegriert.

OpenVPN läuft im Client-Modus mit Zertifikaten. Sämtliche Einstellungen werden vom Server empfangen.
Die VPN Verbindung zum Server klappt ebenfalls und ich kann auch alle IPs dahinter über die Busybox anpingen.

Wie kann ich nun die hergestelle VPN Verbindung in mein 192.168.178.x Netz routen?
Das klappt derzeit noch nicht.


192.168.178.x <-- <7390 Freetz mit VPN> ~~~WAN~~~ <VPN Server> --> Clients

 

[MaxMuster]

Das geht auch automatisch, ist aber vom Server abhängig und muss dort ggf. konfiguriert werden: Wenn der Server "client-to-client" erlaubt, können schonmal alle VPN-Clients deinen VPN-Client erreichen.

Wenn es dir darum geht, dass die Geräte aus "deinem LAN" das VPN nutzen sollen, oder die anderen VPN-Clients dein LAN erreichet sollen, dann muss der Server das Netz 192.168.178.0 zu deinem Client routen.
Der Server benötigt dafür zwei Einträge: einen "normalen" Routing-Eintrag und einen "iroute"-Eintrag in dem Eintrag deines Clients im client-config-dir.

Der Admin des Servers sollte das aber wissen, wie es geht.

 

[Tecnetium]

Hi,

danke für die Infos.

Mir geht es primär darum, aus meinem Netz (192.168.178.x) auf die Clients (192.168.1.x) hinter dem VPN Server (Firma) zuzugreifen.
Hier mal der restliche Auszug aus dem VPN-Log.

Wed Dec 19 21:28:57 2012 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.251,dhcp-option WINS 192.168.1.251,ping 10,ping-restart 120,ifconfig 10.8.128.2 10.8.128.1'
Wed Dec 19 21:28:57 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Dec 19 21:28:57 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Dec 19 21:28:57 2012 OPTIONS IMPORT: route options modified
Wed Dec 19 21:28:57 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Dec 19 21:28:57 2012 TUN/TAP device tun0 opened
Wed Dec 19 21:28:57 2012 TUN/TAP TX queue length set to 100
Wed Dec 19 21:28:57 2012 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Dec 19 21:28:57 2012 /sbin/ifconfig tun0 10.8.128.2 pointopoint 10.8.128.1 mtu 1500
Wed Dec 19 21:28:57 2012 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.128.1
Wed Dec 19 21:28:57 2012 /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.128.1
Wed Dec 19 21:28:57 2012 chroot to '/tmp/openvpn' and cd to '/' succeeded
Wed Dec 19 21:28:57 2012 GID set to openvpn
Wed Dec 19 21:28:57 2012 UID set to openvpn
Wed Dec 19 21:28:57 2012 Initialization Sequence Completed

Kann ich da lokal wirklich nichts machen?

 

[MaxMuster]

Das Problem ist, dass die Geräte im VPN-Netz dein LAN "nicht kennen", daher kann keine Kommunikation stattfinden. Du musst also "dein Netz" beim Server bekannt machen.
Einzige "lokale Alternative", wenn es reicht, aus deinem LAN die VPN-Clients zu kommen (und es nie "andersrum" sein muss), könntest du dein LAN hinter der VPN-IP der FB "verstecken" (NAT).
Das ist aber soweit ich weiß mit den aktuellen Firmwares der 7390 nicht möglich (weil das dafür benötigte "iptables-conntrack" nicht läuft, da gibt es einige Berichte hier).

 

[Tecnetium]

Einzige "lokale Alternative", wenn es reicht, aus deinem LAN die VPN-Clients zu kommen (und es nie "andersrum" sein muss), könntest du dein LAN hinter der VPN-IP der FB "verstecken" (NAT).

Das würde mir reichen, schade das dies noch nicht geht.