OpenVPN brauch Hilfe

[Joe.deluxe]

Hallo,

Ich experimentiere schone eine weile mit OpenVPN rum allerdings habe ich immer noch Verständnis Probleme.

Server (FritzBox) lokal: 192.168.2.100
Clients: 192.168.2.1-192.168.2.99


Was ich möchte ist eigentlich einfach. Ich möchte mich von außen einloggen und auf das gesamte Netzwerk zugreifen können als wäre ich wirklich local eingeloggt.

Ich dachte hierfür benötige ich eine Lan Brücke? Ist das überhaupt korrekt? reicht vielleicht schon ein push ins locale Netzwerk?

Im Moment sieht es so aus:
[Edit frank_m24: Bild vom externen Hoster in Link umgewandelt, siehe auch hier.]
http://www.bring-things-done.de/img/i/3d0edd0d4960.png

 

[Jumper99]

Ich experimentiere schone eine weile mit OpenVPN rum allerdings habe ich immer noch Verständnis Probleme.

Dann fang bitte ersteinmal hier an:

http://wiki.openvpn.eu/index.php/Vergleich_TUN/TAP

Ohne zu wissen, um was für ein Netzwerk es sich handelt bzw. welche Ressourcen Du im Netzwerk nutzen möchtest, wieviele Clients sich remote verbinden sollen, kann man kaum eine Entscheidung treffen, welche Topologie für Dich die richtige ist. Unabhängig von der Tatsache, dass Du in einem OpenVPN-Forum "besser" aufgehoben wärst.

 

[Joe.deluxe]

Ressourcen sind breit gefächert FTP,cifs,nfs, remote, ssh, http. Clients werden es wohl so 2-3 sein.

 

[Jumper99]

Ressourcen sind breit gefächert FTP,cifs,nfs, remote, ssh, http. Clients werden es wohl so 2-3 sein.

Hast Du Ahnung von TCP/IP? Hast Du meinen Link gelesen?

 

[Joe.deluxe]

Hast Du Ahnung von TCP/IP? Nein
Hast Du meinen Link gelesen? Ja

 

[MaxMuster]

Im Regelfall rate ich immer zu "TUN", obwohl man da mehr Aufwand für das Routing hat.

TAP mag für einige Anwendungsfälle "einfacher" sein, besonders wenn es nur einen Client gibt. Denn das "TAP" entspricht halt fast genau deiner Forderung nach "als wäre ich wirklich local eingeloggt"; es erzeugt aber deutlich mehr Last, weil du damit eine LAN-Verbindung durch das Internet simulierst...

Vielleicht hilft dir auch dieser Erklärungsversuch?

Jörg

 

[Jumper99]

Im Regelfall rate ich immer zu "TUN", obwohl man da mehr Aufwand für das Routing hat.

Dem kann ich mich nur anschliessen.

 

[Joe.deluxe]

Wie kann man den ipv4 forward in freetz aktivieren?


desweiteren hab ich mich jetzt noch ein wenig belesen und bin soweit:

[Edit frank_m24: Bild vom externen Hoster in Link umgewandelt, siehe auch hier.]
http://www.bring-things-done.de/img/i/475429e60ece.png

Was mich ein wenig verwundert ist das P-t-P auf 192.168.200.2 zeigt. Ist das korrekt?

Die OpenVPN conf sieht im Moment so aus:

/var/mod/root # cat /var/mod/etc/openvpn.conf 
#  OpenVPN 2.1 Config, Sat Jan  1 01:00:39 CET 2000
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
push "redirect-gateway"
mode server
ifconfig-pool 10.5.0.2 10.5.0.22
push "route 10.5.0.0 255.255.255.0"
client-to-client
ifconfig 10.5.0.1 192.168.200.2
push "route 192.168.2.0 255.255.255.0"
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
comp-lzo
float
keepalive 10 120

In der Fritzbox selbst habe ich jetzt noch eine route von 10.5.0.0 auf 192.168.2.100 (locale Adresse der FritzBox) gesetzt.

Gibt es eigentlich eine Möglichkeit das VPN mal gescheit zu testen, ohne zweite Internetleitung?

 

[Jumper99]

IP Forwarding ist aktiviert, sonst kämst Du mit der Box nicht ins Netz.

"redirect-gateway" veranlasst den Client, *sämtlichen* Traffic über die Box zu schicken. Das willst Du i.d.R. nicht, warum soll bei verbundenem VPN eine Suchanfrage mit der Suchmaschine Deiner Wahl über die Box gehen, und nicht direkt über den Internetzugang des Clients (es sein denn, Du willst filternde Mechanismen wie privoxy vorschreiben)?!

"tls-server", "mode server", "ifconfig", "ifconfig-pool" und "push route" kannst Du Dir sparen, indem Du einfach schreibst: "server 192.168.3.0 255.255.255.0". (Ich verwende hier ein /24er Netz, da ich es als logischer empfinde. Ein /8er Netz (10.x.y.z) zu zerreissen für eine Hand voll IPs empfinde ich als unsauber). Damit hast Du auch schon eine Hausaufgabe: Was sind A, B unc C Class Netze und was bedeutet CIDR).

"tun-mtu 1500" ist default, daher weg damit. Nach ein wenig Aufräumen würde ich mal hiermit anfangen:

server 192.168.3.0 255.255.255.0 (eigentlich "server 192.168.3.0 255.255.255.224", siehe CIDR, aber ich will Dich nicht überfordern)
proto udp
port 1194
dev tun

ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem

client-to-client
persist-key
persist-tun

verb 3
cipher AES-128-CBC
comp-lzo
keepalive 10 120

Die Route an der Fritz!Box kannst Du Dir sparen, wenn die Box auch Dein default gateway ist (wovon ich jetzt mal ausgehe),

Wie sieht Deine client config aus?

Hilfreich hierzu: http://wiki.openvpn.eu/index.php/OpenVPN-Syntax

Mit der obigen Config solltest Du in der Lage sein, Dich (mit der passenden Client Config) erfolgreich mit dem Server zu verbinden. Ein "ipconfig" bzw. "ifconfig" und ein "route print" sollten oben definierte Adressen und Routen sichtbar machen. Versuche dann einfach mal, die IP des Servers (192.168.3.1) vom Client aus zu pingen bzw. zu tracerouten bzw. umgekehrt von der Box aus die VPN IP des Clients zu erreichen.

 

[MaxMuster]

@Joe.deluxe:
Da gibt es scheinbar eine "Unschönheit" in der GUI:
Ich vermute, du hast bei der "Erweiterten Clientkonfiguration" was eingetragen, und dann den Haken wieder entfernt??
Wenn ja, dann lösche bitte diese Einträge oder mach den Haken wieder hin.

Die Konfig sollte dann bei der "lokalen" Adresse wieder "lokale" und "remote" IP anzeigen und nicht "Netzmaske"...

Dann bitte die "remote" IP auf 10.5.0.2 setzen, den "DHCP-Range" erst ab 10.5.0.6 (oder so ;-))


Jörg

 

[Joe.deluxe]

So es funktioniert.... Das Problem war der bug in der GUI. thx.