It is currently 19.11.2017 16:09


All times are UTC




Post new topic Reply to topic  [ 5 posts ] 
Author Message
 Post subject: vpn server clients mit und ohne Routing zu anderen clients
PostPosted: 25.11.2014 22:42 
DES
DES

Joined: 25.11.2014 22:25
Posts: 3
Guten abend,
ich habe bereits mehrere HowTo's ergoggelt, aber nur eines, was ich gut verstanden habe probiert und bin gescheitert. Deshalb suche ich nun Hilfe hier beim openvpn forum.

ich möchte ein openvpn server aufbauen. daran sollen ca 10 clients, welche die anderen verbundenen clients nicht erreichen dürfen.

zusätzlich sollen allerdings ca. 3 clients, welche wiederrum (sozusagen admins) alle clients erreichen sollen.

nun habe ich schon mit den ccd konfigs experimentiert und dort auch erfolgreich die ip adressen und auch routen der einzelnen clients setzen können, aber ich habe damit auch nur geschafft, dass sich entweder alle clients untereinader sehen können oder gar keiner.

Kanckpunkt ist hier, dass sich alle erreichen, wenn sie die selbe adresse und route bekommen. z.B.:
client1:
ifconfig-push 10.8.0.6 10.8.0.5
push "route 10.8.0.0 255.255.255.0"
client2:
ifconfig-push 10.8.0.8 10.8.0.7
push "route 10.8.0.0 255.255.255.0"

admin 1:
ifconfig-push 10.8.0.110 10.8.0.109
push "route 10.8.0.0 255.255.255.0"

sowie ich allerdings versuche den admin eine solche adresse zu geben:
ifconfig-push 10.8.1.6 10.8.1.5
push "route 10.8.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"

... dann klappt nix mehr. der admin kann niemanden mehr erreichen.

der vpn server hat die 10.0.0.1, weil in der serverkonfig folgender Eintrag gemacht wurde:
server 10.8.0.0 255.255.255.0

kann mir da von Euch jemand einen Tipp geben.
Anleiten lassen habe ich mich hier nach:
## http://openvpn.net/index.php/open-sourc ... tml#policy


Top
Offline Profile  
Reply with quote  
 Post subject: Re: vpn server clients mit und ohne Routing zu anderen clien
PostPosted: 27.11.2014 07:53 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
rbs666 wrote:
Guten abend,
ich habe bereits mehrere HowTo's ergoggelt, aber nur eines, was ich gut verstanden habe probiert und bin gescheitert. Deshalb suche ich nun Hilfe hier beim openvpn forum.

ich möchte ein openvpn server aufbauen. daran sollen ca 10 clients, welche die anderen verbundenen clients nicht erreichen dürfen.
kann man machen
Quote:
zusätzlich sollen allerdings ca. 3 clients, welche wiederrum (sozusagen admins) alle clients erreichen sollen.
du wirst dich entscheiden müssen:
Client-2-Client ein- oder auszuschalten

Quote:
nun habe ich schon mit den ccd konfigs experimentiert und dort auch erfolgreich die ip adressen und auch routen der einzelnen clients setzen können, aber ich habe damit auch nur geschafft, dass sich entweder alle clients untereinader sehen können oder gar keiner.

Kanckpunkt ist hier, dass sich alle erreichen, wenn sie die selbe adresse und route bekommen. z.B.:
[...]
kann mir da von Euch jemand einen Tipp geben.
Anleiten lassen habe ich mich hier nach:
## http://openvpn.net/index.php/open-sourc ... tml#policy


Aus dem Bauch ... mir scheint, du versuchst mit einem Sieb Wasser zu schöpfen :)
VPN baut Tunnel , Paketwege regelt ein Paketfilter (alternativ: Zugriffe regelt eine Authentifizierung) und alles zusammen gibt eine sinnvolle Umgebung.
Und ja... es gibt noch einiges an Hilfskrücken...

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: vpn server clients mit und ohne Routing zu anderen clien
PostPosted: 27.11.2014 09:44 
DES
DES

Joined: 25.11.2014 22:25
Posts: 3
Danke für die lehreichen Antworten :-)

Ich habe es nun mit einmal drüber schlafen doch hin bekommen.

Ich habe den clients Routing Anweisungen in den Config files mit gegeben. Aber nur in das Netz zu den Administratoren. Damit werden Anfragen von den admins von den Clients korrekt beantwortet.
Routen in das eigene Netz in dem sich der Client u d auch die anderen clients befinden, habe ich nicht mit gegeben. Dadurch kann der Client nicht zu anderen clients Pinien.

Zum zentralen VPN Server selbst kann er dies trotzdem, da eine Route zu genau dem Rechner Scheinbar automatisch von openvpn den Client mit gegeben wird (bestimmt für die openvpn Verbindung zum Server selbst)

Gerne zeige ich die Konfiguration, wenn ihr wollt...


Top
Offline Profile  
Reply with quote  
 Post subject: Re: vpn server clients mit und ohne Routing zu anderen clien
PostPosted: 27.11.2014 10:18 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Hallo,
Hat aber nichts mit "..soll nicht gehen zu tun..", Routen kann jeder bei Bedarf selbst zusätzlich setzen. Erst recht für den clirnt-2-Client Mode.
Aber vielleicht seh ich das nur zu "ordentlich" :).

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: vpn server clients mit und ohne Routing zu anderen clien
PostPosted: 27.11.2014 11:21 
DES
DES

Joined: 25.11.2014 22:25
Posts: 3
dl5ym wrote:
Hallo,
Hat aber nichts mit "..soll nicht gehen zu tun..", Routen kann jeder bei Bedarf selbst zusätzlich setzen. Erst recht für den clirnt-2-Client Mode.
Aber vielleicht seh ich das nur zu "ordentlich" :).

F.


Ja da wirst du recht haben. Diese Frage habe ich mir auch schon gestellt.

Das ganze wollte ich noch probieren, wie es sich verhält, wenn man nach Verbindung Aufbau zum openvpn Server aus dem Client Netz anschließend in der Konsole manuell eine Route einträgt.

Wenn das wirklich funktionieren würde, wäre meine nächste Idee wiederum am openvpn Server eine iptabels rule ein zu tragen, welche vielleicht ankommende Pakete aus dem Client Netz die als Ziel wiederum auch das client Netz haben zu blocken.
Keine Ahnung ob das geht.

Edit: Also ich habe es mal probiert. Ich konnte nach setzen der Route am client manuell in der Konsole nach Verbindungsaufbau trotzdem nicht zu einem anderen client im selben Netz pingen (was ich ja möchte)

mein vpn client hat die vpn ip 10.8.0.12 10.8.0.13 und ich habe in der konsole diese Route gesetzt:
route add -net 10.8.0.0 netmask 255.255.0.0 gw 10.8.0.13 dev tun0

und auch nochmal probiert:
route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.13 dev tun0

im bin trotzdem nicht zu einem anderen client im 10.8.0.x Netz gekommen :-)

ifconfig nach dem regulären Verbindungsaufbau (wo pakete nicht zu anderen clients kommen, nur ins admin netz):
10.8.0.1 10.8.0.13 255.255.255.255 UGH 0 0 0 tun0
10.8.0.13 * 255.255.255.255 UH 0 0 0 tun0
10.8.1.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0



Wenn ich danach die route wie beschrieben manuell in der konsole absetze, wird die route tabelle so erweitert:
10.8.0.0 10.8.0.13 255.255.255.0 UG 0 0 0 tun0

könnte man die Route denn noch anders gestalten, damit so ein client es doch schaffen würde? Zum Vergleich... So sieht die Routing Tabelle bei einem "admin vpn cleint" aus, der ja im 10.8.1.x Netz ist und ja die clients im 10.8.0.x erreichen soll:
10.8.0.0 10.8.1.5 255.255.0.0 UG 0 0 0 tun0
10.8.0.1 10.8.1.5 255.255.255.255 UGH 0 0 0 tun0
10.8.1.5 * 255.255.255.255 UH 0 0 0 tun0

Wenn Ihr wisst, wie so ein client doch mit etwas Geschick schaffen würde, würde ich für den Tipp dankbar sein, damit ich da dann gleich ansetzen kann um das dann noch besser ab zu sichern...

Hier sind mal meine Konfigs der momentanen Konstellation, die ja augenscheinlich für mich in diesem Moment erst mal genau das macht, was ich möchte:

Konfiguration auf dem vpn Server:
Code:
port 119x
proto udp
dev tun

ca ./x/keys/ca.crt
cert ./x/keys/server.crt
key ./x/keys/server.key    # Diese Datei geheim halten.
dh ./x/keys/dh2048.pem     # Diffie-Hellman-Parameter
server 10.8.0.0 255.255.255.0

#Add routes for the System Administrator and Contractor IP ranges:
# Employees     10.8.0.0/24
# System Administrators         10.8.1.0/24
#DAS DARF NICHT FEHLEN HIER. Gewünschte Routen müssen trotzdem zusätzlich noch in die jeweiligen CCD Konfigs:
route 10.8.1.0 255.255.255.0
route 10.8.0.0 255.255.255.0

ifconfig-pool-persist ./BLIserver/ip_pool.txt
client-config-dir BLIserver/ccd
;learn-address ./script
#client-to-client #nicht akivieren!
comp-lzo

ccd Datei eines Admin Zugang:
Code:
#Benutzerart: Admin
#Admin im 10.8.1.x Bereich, Clients im 10.8.0.x Bereich
ifconfig-push 10.8.1.6 10.8.1.5
#Route für Anfragen von aus Admin Netz in Client Netz zulassen:
push "route 10.8.0.0 255.255.0.0"

ccd Datei eines Client, der keinen anderen client sehen darf:
Code:
#Benutzerart: Client
#lokale IP für eigenes VPN Device festlegen:
#Admin im 10.8.1.x Bereich, Clients im 10.8.0.x Bereich

ifconfig-push 10.8.0.10 10.8.0.11

#Route für Anfragen von aus Admin an deren Netz beantworten:
push "route 10.8.1.0 255.255.255.0"
#Bei Clients Keine Route in das 10.8.0.0 Netz setzen, Clients haben kein Kontakt untereinander


jetzt noch die openvpn Konfig die auf allen VPN Partnern (client und Admin gleichermaßen) aktiv ist:
Code:
client
dev tun
proto udp
remote mein-openvpntestserver 119x
resolv-retry infinite
nobind
persist-key
persist-tun
#auth-user-pass

ca ./x/keys/ca.crt
cert ./x/keys/xx.crt
key ./x/keys/xx.key    # Diese Datei geheim halten.
dh ./x/keys/01.pem     # Diffie-Hellman-Parameter

comp-lzo
verb 3



Bei mir funktioniert es so wie gesagt, bin aber um gute Ratschläge sehr dankbar, falls es zu solch einem Kontrukt Sicherheitshinweise, Ratschläge zur Verbesserung oder auch zu einer eventuell besseren Lösung gibt.

Ziel wie gesagt, dass eine kleine gruppe von Admins bis zu den Rechnern kommen (dort ist eine Anwendung, welche administriert werden soll bei jedem einzelnen Client). Die clients sollen dabei eben nur etwas auf deren Server im Netz für den/die Admins freigeben, ohne dabei aber zwischen den anderen normalen clients sichtbar zu sein.

Edit Nr. 2:

Nach der Logik mit der Route manuell setzen habe ich meine Vermutung noch fix klären können:

Wenn die manuelle Route an dem einem Client Rechner auch an einem 2. Client Rechner in selber Form gemacht wird, dann würde der ping wieder untereinander möglich sein.
Das wäre dann aber von 2 Partnern dann selbst verursacht und qauasi im Gegenseitigen einvernehmen. Es könnte kein einzelner das machen und dabei die anderen angreigen.
Verbesserungsvorschläge oder ähnliches auf Lager?? :-)


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 5 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 8 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net