Freetz OpenVPN Konfigurationsprobleme/Verständnisfragen

[mycroft]

Hallo zusammen,

ich habe eine Frage zu openvpn auf der FB7170. Mittels Freetz habe ich openvpn ans laufen bekommen. Die entsprechenden Key-Files sind erstellt und soweit scheint die Konfiguration auch zu laufen. Probleme hab ich noch mit dem Routing. Folgendes würde ich gern erreichen.

FB7170 als Client erstellt über openvpn eine Verbindung zu einem VPN-Server im Netz. Die Rechner im LAN hinter der FB sollen diesen Zugang nutzen. Alle Rechner bekommen ihre IP per DHCP von der FB. Wie kann ich openvpn konfigurieren, dass der gesamte Netzwerk Traffic über VPN läuft, wenn der Dienst gestartet ist.
Die Konfiguration sieht bis jetzt so aus: (siehe Anhang)

Die PCs im LAN bekommen IPs aus dem Bereich 192.168.178.xx von der FB.

Vielen Dank schonmal im vorraus für Eure Hilfe.
Grüße
mYCROFT

 

[MaxMuster]

Eigentlich solltest du schon fast fertig sein. Der Server muss "nur noch" eine Route für dein lokales Netz (92.168.178.0 255.255.255.0) auf deine VPN-IP eingetragen haben (192.168.200.1) und es sollte alle klappen.

Zwei Punkte noch:
- Schalte wenn es nicht benötigt wird das debug wieder aus
- Nutze lieber einen Tunnel statt eine Brücke, sofern die Brücke nicht unumgänglich ist.

Jörg

 

[mycroft]

Hallo,
warum Server? Ich kann serverseitig nichts eintragen. Muss alles auf der Client Seite passieren. Muss ich nicht noch über die Firwall in der FB folgendes eingeben: "udp 0.0.0.0:1194 0.0.0.0:1194", ?

Danke+Grüße
mycroft

 

[MaxMuster]

Wenn du (was auch immer) von deinem lokalen Netz "über/durch" den Server machen willst, dann muss der Server natürlich dein lokales Netz "kennen", sonst schickt er nichts dahin an die Geräte in deinem Netz zurück.

Wenn der Server nichts davon wissen darf/kann, musst du alle lokalen Geräte hinter dem eigentlichen VPN-Client, der FB, verstecken.
Dafür benötigst du dann z.B. iptables, die aber auf der 7170 nicht stabil laufen, zumindest soweit ich das weiß, wenn du WLAN benutzt.

Ansonsten: Beim Client brauchst du keine Weiterleitung.

Jörg

 

[mycroft]

eine Verständnisfrage hätte ich aber noch .
Ich habe eine OpenVPN Konfiguration des VPN-Servers. Wenn ich diese auf meinem Windowsrechner zusammen mit OpenVPN benutze verbindet sich der Rechner problemlos mit diesem Server. Klappt dies weil die Anfrage von meinem Rechner kommt und klappt es deswegen nicht mit der FB, weil diese nicht weis
was sie mit den Pakten des Servers tun soll?

Danke+Grüße
mycroft

 

[MaxMuster]

Kurze Antwort: Ja, in etwa ;-)

Wenn du vom VPN-Client selbst zugreifst, nutzt dieser die "VPN-IP", und die kennt/erwartet der Server ja. Das gilt für den PC genauso, wie für die FB als VPN-Client.
Alles was "hinter" dem VPN-Client ist, nutzt die Absende-IP, die das jeweilige Gerät auch für die Kommunikation zum VPN-Client hin nutzen würde; dies ist bei dir dann das lokale Netz der FB. Der VPN-Server aber kennt erstmal nur die VPN-IPs, nicht eventuelle Netze "hinter" dem Client, wenn man sie ihm nicht in seiner (Server-)Konfiguration eintragen kann...

Wie gesagt, "Verstecken" der internen IPs mit "iptables" wäre zwar theoretisch eine Lösung, führt aber auf deiner Box vermutlich zu sporadischen Abstürzen...

Jörg

 

[mycroft]

Das ist ja mal doof. Nun gut. Ich danke Dir für Deine ausführlichen Erklärungen.
Ich lese mich jetzt etwas in das Thema iptables ein. Noch gebe ich nicht auf.

Danke Dir.
Grüße
mycroft