OpenVPN mit 2 Servern und einem Client-PC

[flunki]

Moin,

moechte 2 OpenVPN Server auf der 7170 an 2 Standorten (A, B) zwecks "Fernwartung" betreiben. 1 Win-XP Client PC soll sich, von einem dritten Standort (C), wahlweise an jeweils an einem der Server-Standorte im brdiging mode connecten.

Meine Herausforderung:
Der Client PC soll sich fallweise auch vom Standort A nach Standort B bzw vias-versa connecten koennen. Die beiden FB OpenVPN Server (A,B) sollen sich jedoch nicht gegenseitig connecten und unabhaengige Locations bleiben.

Kann ich die Server-Configs an beiden Standorten identisch machen (ausser certifcates und FB LAN IP)?

Wie ich das man lese muss ich da auch noch die VPN Ports bei A,B unterschiedlich machen damit Server / Client sich nicht in die Quere kommen ?

Mmmh, ich koennte ja auch A und B ueber die beiden FB zusammenbridgen (A=Server, B=Client). Wird dann eigentlich alle Traffic von B ueber A transportiert und der DSL-Uplink bei A wird der Flaschenhals ?

Bin fuer jeden Hinweis dankbar

Gruss Frank

 

[grrrmml]

Hallo Flunki,
ja du kannst zwei openVPN server mit identischer config machen, wenn du nur einen client hast dann ganz einfach mit statischen keys (eine für einsteiger einfache anleitung findet sich auf http://www.tecchannel.de/telko/daten/435560/index8.html, ansonsten gibts hier im forum nicht nur eine, ist aber u.u. etwas wühlarbeit).

für mehrere clients ist die beste lösung die mit zertifikaten, beste anleitung hierfür: http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192 - kannst theoretisch auch die gleichen zertifikate verwenden.

da nur der client eine verbindung zu der remote box aufnimmt, bleiben die standorte an sich unabhängig voneinander.

Achtung wenn du bei der 7170 ne firmware >.21 einsetzt - die kommt mit neuem kernel, da funktioniert das openvpn package nicht mehr. glaube das problem ist auch noch nicht gelöst, ist aber in arbeit...

viel spass beim basteln

 

[flunki]

Hi grrrmml,
unter 04.21 habe OpenVPN mit einem Client remote am Laufen.

Mir ist nicht klar ob ich an der 2ten Lokation dort auch port 1194 fuer OpenVPN einsetzen kann und somit identische Konfiguration (bis auf die FB Lan Segment ID). Gibts da nicht Stress mit dem 2ten OPenVPN Server der dann auf denselben Port lauscht ?


Danke im Voraus
Gruss Frank

 

[Bumblebee]

Hallo Frank,

klar kannst Du bei beiden Servern den gleichen Port verwenden, denn die beiden "kennen" sich nicht. Beim Client wird einfach ein freier Port als "Absender" gewählt (automatisch vom OS beim Aufbau der Session), den dann auch der entsprechende Server als Absender sieht. Du kannst auch die Konfigs bis auf "remote" und ip-gedöns identisch halten; gleiche Certs, gleiche Keys.

Gruß
Tom

 

[grrrmml]

@frank: du kanns auch wie im ersten post als nachsatz angedacht die beiden standorte 'vernetzen'. unterschiedliche netze an den standorten (z.b. 192.168.178.0/24 u. 192.168.179.0/24) brauchst du meines wissens nach sowieso wenn du vom A-LAN nach B connecten willst, da das routing sonst nicht eindeutig ist.
der internet traffic der einzelnen standorte geht weiterhin direkt übers dsl solang du das nicht anders konfigurierst. nur der traffic zum 'zielnetz' geht dann über den vpn tunnel.

gruß