It is currently 18.11.2017 12:14


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: openVPN Server einstellen
PostPosted: 08.05.2017 14:20 
DES
DES

Joined: 14.01.2013 20:54
Posts: 6
Hallo,

ich habe mir einen openVPN Server eingerichtet, aber wie schaffe ich es, das die VPN Clients eine IP des LAN des Server bekommen?
Beispiel:
Client PC:
192.168.0.45
openVPN Server:
172.24.66.253

Verbind ich mich zum OpenVPn Server, erhält der VPN Client PC eine 10.8.0.2
Somit kann der Client PC nicht auf andere Netzwerkgeräte im Netzwerk 172.24.66.253 zugreifen, außer man konfiguriert immer statische routen.

Kann man nicht einstellen, das der Client PC eine IP Adresse aus der Range des openVPN Server bekommt?

Meine Konfig:
Code:
dev tun
proto udp
port 51126
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OPenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 192.168.0.0 255.255.255.0"
# Set your primary domain name server address for clients
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
tls-version-min 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
#crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
log /var/log/openvpn.log
verb 1


Oder soll ich das:
Code:
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2


zu dem:
Code:
server 172.24.66.0 255.255.255.0
# server and remote endpoints
ifconfig 172.24.66.240 172.24.66.249


machen?

Wär schön wenn die VPN Clients einen Ip Bereich von 240-249 bekommen würden.

Danke!


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 09.05.2017 08:40 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Hallo,
Frei: Unkenntnis schützt vor Schaden nicht ! ;)

Leseempfehlung: Bridged and routed networks /VPNs
[Aufwand, Bedingungen, Vorteile, Nachteile]

Danach: weiterfragen!

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 09.05.2017 12:58 
DES
DES

Joined: 14.01.2013 20:54
Posts: 6
dl5ym wrote:
Hallo,
Frei: Unkenntnis schützt vor Schaden nicht ! ;)

Leseempfehlung: Bridged and routed networks /VPNs
[Aufwand, Bedingungen, Vorteile, Nachteile]

Danach: weiterfragen!

F.


Hallo,

nun, das hilft schon mal weiter :-)
Habe hierzu das gefunden:
http://gesus.in-berlin.de/openvpn/

Ich muss also Linux selbst hierfür vorbereiten? Alleine mit openVPN ist es nicht möglich?
Eingerichtet habe ich es mit PiVPN

Die Ausgangskonfiguration:
pi: 192.168.253.253/24
gw: 192.168.253.254

Clients sollen 192.168.253.230 - 250 bekommen

Dann:
Code:
aptitude install bridge-utils


Code:
#!/bin/bash

#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################

# Define Bridge Interface
br="br0"

# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap1"

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="192.168.253.253"
eth_netmask="255.255.255.0"
eth_broadcast="192.168.253.255"

for t in $tap; do
    openvpn --mktun --dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

for t in $tap; do
    ifconfig $t 0.0.0.0 promisc up
done

ifconfig $eth 0.0.0.0 promisc up

ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast


und die server.conf:
Code:
port 1194
proto udp
dev tap1
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.253.253 255.255.255.0 192.168.253.230 192.168.253.250
client-to-client
keepalive 10 120
comp-lzo # Kompression aktivieren
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn-status.log # Definition der Logdateien
log /var/log/openvpn.log
verb


Ist dies soweit correct?

Danke!


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 09.05.2017 14:19 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Hallo,
sieht von weitem so aus.
Ich selbst habe derlei Konstruktionen immer gemieden, weil sie zu schwrer zu beherrschen sind.
Grundsätzlich hast erst mal nichts wirklich falsch gemacht (noch nicht).
Oder doch.. ja : ganz sicher. ;)
Du hast gefragt, ob das so gehen könnte....
Wenn du jetzt die anderen nicht erwähnten Faktoren auch noch fehlerlos in die Reihe bekommst, sollstes du aber über ausreichend Wissen verfügen, nicht mehr fragen zu müssen ;)

Ich habe bisher von Bridging-Netzen die Finger gelassen, weil es immer Faktoren gab, die beachtet werden müssen, aber von mir nicht beeinflussbar waren.
Aber darüber bist du dir ja im Klaren nach dem Lesen der Artikel über die Unterschiede und Fallen ..

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 10.05.2017 05:22 
DES
DES

Joined: 14.01.2013 20:54
Posts: 6
dl5ym wrote:
Ich habe bisher von Bridging-Netzen die Finger gelassen, weil es immer Faktoren gab, die beachtet werden müssen, aber von mir nicht beeinflussbar waren.
Aber darüber bist du dir ja im Klaren nach dem Lesen der Artikel über die Unterschiede und Fallen ..


Was mir aber noch nicht klar ist:
Wenn ich nicht Bridged network nutze.
Wird bei meinem Windows PC druch openVPN eine Route zu dem internen Netz vom openVPN Server eingetragen?

Wenn der Server:
192.168.253.1
das openVPN Netz:
10.8.0.2
der Windows PC:
192.168.0.23

Kann ich von 192.168.0.23 Geräte erreichen, die im Netz 192.168.253.x liegen?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 10.05.2017 07:38 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Fohnbit wrote:
dl5ym wrote:
Ich habe bisher von Bridging-Netzen die Finger gelassen, weil es immer Faktoren gab, die beachtet werden müssen, aber von mir nicht beeinflussbar waren.
Aber darüber bist du dir ja im Klaren nach dem Lesen der Artikel über die Unterschiede und Fallen ..


Was mir aber noch nicht klar ist:
Wenn ich nicht Bridged network nutze.
Wird bei meinem Windows PC druch openVPN eine Route zu dem internen Netz vom openVPN Server eingetragen?
JEIN
du kannst versuchen Route zu pushen; geht solange du nicht über Win-Eigenheiten stolperst.
Quote:
Wenn der Server:
192.168.253.1
das openVPN Netz:
10.8.0.2
der Windows PC:
192.168.0.23

Kann ich von 192.168.0.23 Geräte erreichen, die im Netz 192.168.253.x liegen?


Im Prinzip JA ?
Da spielen Netzdesign und z.T. verwendete Hardware ein klein bisschen auch noch eine Rolle.
Grundsätzlich liegen die Probleme ähnlich, wenn du beide Netze (direkt) über ein Kabel verbindest (ohne VPN) - kriegst du das im Testfall gebacken ?
Dann fange auch damit an, es reduziert die Anzahl der Fehlerstellen !

Ist zwar alles kein Hexenwerk - aber wenn du dich verrannt hast und z.B. "2+2 =5 " als gegeben nimmst, wirds kritisch. Gilt so dann auch für "gegebene Netzwerkeinstellungen".


F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 10.05.2017 10:25 
DES
DES

Joined: 14.01.2013 20:54
Posts: 6
dl5ym wrote:
Ist zwar alles kein Hexenwerk - aber wenn du dich verrannt hast und z.B. "2+2 =5 " als gegeben nimmst, wirds kritisch. Gilt so dann auch für "gegebene Netzwerkeinstellungen".


Also wir können uns gerne über network routing, routing protocols und ähnliches unterhalten. Habe ich auch damals gelernt und sitzt :D :D :D

Jedoch weiß ich ja nicht, was der OpenVPn Server in sich macht.

Drum konkrete Fragen:
1. Wenn ich mich mit dem Tool OpenVPN GUI verbinde. Wird im Windows System eine statische Route hinterlegt? Also das das Netz 192.168.253.0 über 10.8.0.2 verfügbar ist
2. Die anderen Geräte im Netz 192.168.253.0 haben ja nicht den OpenVPN Server als Standard Gateway. Senden die nun die Pakete an die QuellMAC zurück oder ans Standard Gateway? Da bin ich mir nun nicht sicher.

Ich kann mir nur vorstellen, das meine Schnittstelle am PC im dieselben Netzwerkbereich liegt, als die anderen Geräte, auf denen ich zugreifen möchte. Dann wären wir aber wieder beim Bridge(?)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: openVPN Server einstellen
PostPosted: 10.05.2017 14:06 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2188
Fohnbit wrote:
dl5ym wrote:
Ist zwar alles kein Hexenwerk - aber wenn du dich verrannt hast und z.B. "2+2 =5 " als gegeben nimmst, wirds kritisch. Gilt so dann auch für "gegebene Netzwerkeinstellungen".


Also wir können uns gerne über network routing, routing protocols und ähnliches unterhalten. Habe ich auch damals gelernt und sitzt :D :D :D

Jedoch weiß ich ja nicht, was der OpenVPn Server in sich macht.
Stellte einen Tunnel von A nach B her ... kann man auch mit ssh machen usw.
Quote:

Drum konkrete Fragen:
1. Wenn ich mich mit dem Tool OpenVPN GUI verbinde.
das geht gar nicht :)
der openvpnServer/Client arbeitet Kommandozeilenorientiert.
Du kannst dir nur ein grafisches Tool bauen, welches 2..3..4 Varianten generiert...
Quote:

Wird im Windows System eine statische Route hinterlegt?

Also das das Netz 192.168.253.0 über 10.8.0.2 verfügbar ist
2. Die anderen Geräte im Netz 192.168.253.0 haben ja nicht den OpenVPN Server als Standard Gateway. Senden die nun die Pakete an die QuellMAC zurück oder ans Standard Gateway? Da bin ich mir nun nicht sicher.
*Grins* wenn du Routing gelernt hast ist es doch klar!
erst an MAC (eigenes Netz).. wenn da nix ist dann eben Layer3
Und.... Rest ist in den Routing Tabellen beschrieben.
und wie ? statische Route hinterlegt... hindert dich doch kein Mensch daran, es zu tun.

Quote:
Ich kann mir nur vorstellen, das meine Schnittstelle am PC im dieselben Netzwerkbereich liegt, als die anderen Geräte, auf denen ich zugreifen möchte. Dann wären wir aber wieder beim Bridge(?)

Da heisst das Zauberwort eben Routing (manchmal noch unterstützt duch Metrik)

Oben schon geschrieben: der VPN-Tunnel ersetzt ein laaaaanges Kabel.....
Alle anderen Hilfskonstrukte (Optionen) sind zwar hilfreich, aber nicht universal (push route z.B.) - eben für RWs gedacht.

Letztlich hängt einiges an Aufwand auch an einer (un)klugen Topologie, und/oder an unpassenden Geräten. Und manchmal auch an einer (un)klugen Adresswahl :)

Alles schon gehabt...
Ausserdem sind U*X und Windoof völlig andere Welten.

F.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 12 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net