It is currently 25.09.2017 18:45


All times are UTC




Post new topic Reply to topic  [ 3 posts ] 
Author Message
 Post subject: Routing von Server-LAN auf Client-LAN (Linux)
PostPosted: 06.06.2006 19:45 
DES
DES

Joined: 06.06.2006 19:27
Posts: 4
Hallo,

erstmal vielen Dank fuer dieses super Forum. Hier lernt man wirklich jede Menge :)

Mein Problem:
Ich habe Openvpn unter Debian Sarge auf zwei Servern eingerichtet und versuche diese zu verbinden. Ping vom Client auf den Server funktioniert, vom Server auf den Client aber nur zum Teil.

Was funtioniert:

- Ping vom vom Client auf Server TUN (10.8.0.1)
- Ping vom Client auf Client TUN (10.8.0.6)
- Ping vom Client auf Server ETH (192.168.0.55)
- Ping vom Client auf andere Rechner im Server-LAN

- Ping vom Server auf Client TUN (10.8.0.6)


Was nicht funktioniert:

- Ping vom Server auf 10.8.0.2
- Ping vom Server auf Client ETH 192.168.1.253

Auf dem Server habe ich eine Route ins Client-LAN angelegt:

192.168.1.0 255.255.255.0 gw 10.8.0.2

Wenn ich den Client anpinge sehe ich mit tcpdump, dass Anfragen ueber tun0 rausgehen. Diese kommen aber nicht auf tun0 des Clients an!

Ich weiss, dass diese Problematik schon oefters hier im Forum Thema war, ich komme aber leider auch nach vielen lesen und probieren nicht weiter. Ich hoffe mir kann hier jemand helfen.

Vielen Dank.

Thomas


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 07.06.2006 07:12 
openvpn.eu Admin
openvpn.eu Admin
User avatar

Joined: 23.01.2006 08:05
Posts: 3321
Location: near Vienna
Zu dem Problem mit 10.8.0.2: Im Multiclient Modus von OpenVPN ist dies nur eine virutelle Adresse fürs Routing, es verbirgt sich dabei keine pingbare Gegenstelle dahinter, sondern lediglich der OpenVPN Prozess, der auf keine direkten Anfragen reagiert. Damit ist das kein Problem. :)

Zu dem Problem mit dem Client-Netzwerk: Damit OpenVPN richtig routet, musst du ein CCD (Client Config Directory) anlegen, es angeben in der Serverconf und eine eigene Confdatei für den speziellen Client schreiben, in dessen LAN du möchtest.

Ich fasse zusammen :):

1. CCD anlegen:
Code:
$ cd /etc/openvpn
$ mkdir ccd

2. Im Verzeichnis eine Datei anlegen die genauso heißt wie der CN des Clientzertifikats:
Code:
$ touch client1

3. In die Datei folgendes einfügen:
Code:
iroute 192.168.1.0 255.255.255.0

4. In die Server.conf einfügen:
Code:
client-config-dir /etc/openvpn/ccd
route 192.168.1.0 255.255.255.0


Fertig. Eine eigene Route musst du damit nicht mehr in den Kernel reintippen, das macht OpenVPN.

Der Unterschied zwischen route und iroute ist simpel: route erzeugt eine Route im Kernel, damit OpenVPN die Pakete für 192.168.0.0/24 bekommt. Jedoch hat OpenVPN dann ein Problem, wenn es im MultiClient Mode läuft und mehrere Clients connected sein können, da es nicht weiß wo welches Subnet dranhängt. Deshalb braucht es noch iroute, um das Subnet einem speziellen Client zuzuordnen.
Am Client muss natürlich auch ip_forward aktiviert sein.

[Edit von note:] Die IP Adressen stimmten nicht, nun sollten sie korrekt sein. Ich bitte um Verzeihung. :)

_________________
regards,
note
Please take a look at our rules. Besucht mal unsere Wiki !


Last edited by note on 04.07.2006 08:54, edited 1 time in total.

Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 08.06.2006 14:42 
DES
DES

Joined: 06.06.2006 19:27
Posts: 4
Super, Danke fuer die schnelle Hilfe!

Genau das war's was ich gesucht hatte. Ich hatte mir schon etwas in diese Richtung gedacht hab's aber irgendwie uebersehen.

Gruss
Thomas


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 3 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net