7
OpenVPN Verbindung
Hallo,
ich habe ein paar kleine Fragen zur OpenVPN konfiguration:
Meine Konfiguration sieht im Moment wie folgt aus:
Standort A:
- OpenVPN Server (als Service)
- Lokale IP: 192.168.1.44
- VPN IP: 10.0.0.2
- DynDNS
Standort B:
- OpenVPN Client (als Service)
- Lokale IP: 192.168.10.10
- VPN IP: 10.0.0.1
Client und Server sind prima miteinander verbunden und ich kann auf alles zugreifen. Das habe
ich mit einem Tutorial geschafft und auch den Port konnte ich (anhand des Wikis) ändern. Aber
jetzt komme ich auch mit dem Wiki nicht weiter...
Ich würde gern:
- mit dem Client auf das restliche Netz zugreifen können (192.168.1.xxx)
- dafür sorgen dass sich der Client auch nach einem DSL-Reset (Standort A) wieder automatisch verbindet (hab mit "ping-restart" schon was versucht, optimierungsbedürftig)
Meine server.ovpn:
port 5523
dev tun
ifconfig 10.0.0.2 10.0.0.1
secret key.txt
Meine client.ovpn:
port 5523
remote xxxxxxx.dyndns.org
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret key.txt
ping-restart 1440
Würde mich über Hilfe freuen.
Gruß
Tim
Standort A:
- OpenVPN Server (als Service)
- Lokale IP: 192.168.1.44
- VPN IP: 10.0.0.2
- DynDNS
Standort B:
- OpenVPN Client (als Service)
- Lokale IP: 192.168.10.10
- VPN IP: 10.0.0.1
Client und Server sind prima miteinander verbunden und ich kann auf alles zugreifen. Das habe
ich mit einem Tutorial geschafft und auch den Port konnte ich (anhand des Wikis) ändern. Aber
jetzt komme ich auch mit dem Wiki nicht weiter...
Ich würde gern:
- mit dem Client auf das restliche Netz zugreifen können (192.168.1.xxx)
- dafür sorgen dass sich der Client auch nach einem DSL-Reset (Standort A) wieder automatisch verbindet (hab mit "ping-restart" schon was versucht, optimierungsbedürftig)
Meine server.ovpn:
port 5523
dev tun
ifconfig 10.0.0.2 10.0.0.1
secret key.txt
Meine client.ovpn:
port 5523
remote xxxxxxx.dyndns.org
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret key.txt
ping-restart 1440
Würde mich über Hilfe freuen.
Gruß
Tim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125361
Url: https://administrator.de/contentid/125361
Printed on: April 26, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo,
dafür fehlt das routing.
In der Konfiguration vom Server folgende Einstellung machen (ggf. Subnet Makse anpassen):
push "route 192.168.1.0 255.255.255.0"
Das sollte dann passen.
Mit dem wiederverbinden habe ich gerade bei googel gefunden, dass beim Client und Server folgendes eingetragen werden muss: "float", teste das mal.
MFG
Heiko
dafür fehlt das routing.
In der Konfiguration vom Server folgende Einstellung machen (ggf. Subnet Makse anpassen):
push "route 192.168.1.0 255.255.255.0"
Das sollte dann passen.
Mit dem wiederverbinden habe ich gerade bei googel gefunden, dass beim Client und Server folgendes eingetragen werden muss: "float", teste das mal.
MFG
Heiko
Details dazu findest du auch in diesem Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Es kann auch sein das die Default Routen im 192.168.1.0er Netz auf deinen Router zeigen ! Dieser benötigt dann noch eine statische Route um das 192.168.10.0er Netz wieder via OpenVPN Server zu routen.
Leider teilst du uns das ja nicht mit ob dem so ist.
Wenn ja, muss hier eine statische Route ala:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: <lokale_ip_openVPN>
eintragen !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Es kann auch sein das die Default Routen im 192.168.1.0er Netz auf deinen Router zeigen ! Dieser benötigt dann noch eine statische Route um das 192.168.10.0er Netz wieder via OpenVPN Server zu routen.
Leider teilst du uns das ja nicht mit ob dem so ist.
Wenn ja, muss hier eine statische Route ala:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: <lokale_ip_openVPN>
eintragen !
Ja, soweit klar.
Aber nochwas...
wenn ich den Clients (jetzt sind es schon mehrere) dynamische VPN-IPs (über "ifconfig-pool")
zuweisen möchte und auch "client-to-client" aktivieren möchte, geht das dann nur mit Zertifikaten, Keys, etc.?
Bis jetzt habe ich ja nur die key.txt
Ist doch schwerer als ich dachte...
Aber nochwas...
wenn ich den Clients (jetzt sind es schon mehrere) dynamische VPN-IPs (über "ifconfig-pool")
zuweisen möchte und auch "client-to-client" aktivieren möchte, geht das dann nur mit Zertifikaten, Keys, etc.?
Bis jetzt habe ich ja nur die key.txt
Ist doch schwerer als ich dachte...
Nö, ist eigentlich ganz einfach wenn man nach dem HowTo vorgeht....
Mit Zertifikaten ist es letztlich sicherer mit der Einrichtung. Generell kannst du aber auch alles mit preshared Keys machen...
Mit Zertifikaten ist es letztlich sicherer mit der Einrichtung. Generell kannst du aber auch alles mit preshared Keys machen...
OK,
es hat soweit geklappt, aber ich komme nur auf den Server (Windows 2000)
und nicht in das 192.168.1.0er Netz. IP-Forwarding am Server ist aktiviert.
Hier die server.ovpn:
port 5520
proto udp
mode server
dev tap
dev-node openvpn
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.20
client-to-client
tls-server
dh c:\\programme\\openvpn\\keys\\dh1024.pem
ca c:\\programme\\openvpn\\keys\\ca.crt
key c:\\programme\\openvpn\\keys\\server01.key
cert c:\\programme\\openvpn\\keys\\server01.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 9
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"
push "route 192.168.1.0 255.255.255.0"
...und die client.ovpn:
remote xxxx.ath.cx
port 5520
proto udp
dev tap
dev-node openvpn
tls-client
ca c:\\programme\\openvpn\\keys\\ca.crt
key c:\\programme\\openvpn\\keys\\client01.key
cert c:\\programme\\openvpn\\keys\\client01.crt
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
Verbindung steht. DNS und Gateway am Server zeigen auf: 192.168.1.1 (DSL-Router). Ist das falsch?
Gruß
Tim
es hat soweit geklappt, aber ich komme nur auf den Server (Windows 2000)
und nicht in das 192.168.1.0er Netz. IP-Forwarding am Server ist aktiviert.
Hier die server.ovpn:
port 5520
proto udp
mode server
dev tap
dev-node openvpn
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.20
client-to-client
tls-server
dh c:\\programme\\openvpn\\keys\\dh1024.pem
ca c:\\programme\\openvpn\\keys\\ca.crt
key c:\\programme\\openvpn\\keys\\server01.key
cert c:\\programme\\openvpn\\keys\\server01.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 9
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"
push "route 192.168.1.0 255.255.255.0"
...und die client.ovpn:
remote xxxx.ath.cx
port 5520
proto udp
dev tap
dev-node openvpn
tls-client
ca c:\\programme\\openvpn\\keys\\ca.crt
key c:\\programme\\openvpn\\keys\\client01.key
cert c:\\programme\\openvpn\\keys\\client01.crt
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
Verbindung steht. DNS und Gateway am Server zeigen auf: 192.168.1.1 (DSL-Router). Ist das falsch?
Gruß
Tim
Hallo Tim,
Nein, falsch ist das nicht, du hast vermutlich nur ein kleines Routing Problem was aber leicht zu lösen ist...
Was sagt ein route print an deinem Client wenn die OpenVPN Verbindung aktiv ist ??
Bekommst du dort die Route für das 192.168.1.0er Netz angezeigt bei aktivem VPN Link ??
Wenn ja, dann klappt generell deine Route über den VPN Client. Vermutlich liegt dein problem dann auf der Serverseite.
Wenn du andere Clients auf der Serverseite (192.168.1.0) pingen willst, dann haben die vermutlich den lokalen Router 192.168.1.1 dort als Gateway eingetragen.
Da sie dein VPN Netz 192.168.10.0 nicht kennen wo dein Client dran ist werden sie Packete dann aus diesem Netz also an den Router schicken und der versucht sie dann im Internet loszuwerden wo sie verschwinden !!
Fazit: Du musst also diesem Router mit einer statischen Route sagen, das dein 192.168.10.0er Clientnetz über den OpenVPN Server zu erreichen ist !
Diese Route im Router 192.168.1.1 sieht dann z.B. so aus:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.44
Wenn du einen doffen Billigst DSL Router hast der keine statischen Routen verstehst, hast du erstmal ein Problem. Das ist aber auch lösbar.
Du musst dann nur ümständlicherweise an jeden Rechner im 192.168.1.0er Netz der mit dem VPN kommunizieren soll und musst dort statisch die Route konfigureren:
route add 192.168.10.0 mask 255.255.255.0 192.168.1.44 -p
Das ist natürlich nervig und man kann nur hoffen das du einen einigermaßen intelligenten DSL Router hast der statische Routen supportet ?!
Dann routet der Router alles sauber an den OpenVPN Server und es sollte problemlos klappen !!
Checken kannst du das immer mit einem Traceroute (tracert) oder pathping Kommando !
Nein, falsch ist das nicht, du hast vermutlich nur ein kleines Routing Problem was aber leicht zu lösen ist...
Was sagt ein route print an deinem Client wenn die OpenVPN Verbindung aktiv ist ??
Bekommst du dort die Route für das 192.168.1.0er Netz angezeigt bei aktivem VPN Link ??
Wenn ja, dann klappt generell deine Route über den VPN Client. Vermutlich liegt dein problem dann auf der Serverseite.
Wenn du andere Clients auf der Serverseite (192.168.1.0) pingen willst, dann haben die vermutlich den lokalen Router 192.168.1.1 dort als Gateway eingetragen.
Da sie dein VPN Netz 192.168.10.0 nicht kennen wo dein Client dran ist werden sie Packete dann aus diesem Netz also an den Router schicken und der versucht sie dann im Internet loszuwerden wo sie verschwinden !!
Fazit: Du musst also diesem Router mit einer statischen Route sagen, das dein 192.168.10.0er Clientnetz über den OpenVPN Server zu erreichen ist !
Diese Route im Router 192.168.1.1 sieht dann z.B. so aus:
Zielnetz: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.1.44
Wenn du einen doffen Billigst DSL Router hast der keine statischen Routen verstehst, hast du erstmal ein Problem. Das ist aber auch lösbar.
Du musst dann nur ümständlicherweise an jeden Rechner im 192.168.1.0er Netz der mit dem VPN kommunizieren soll und musst dort statisch die Route konfigureren:
route add 192.168.10.0 mask 255.255.255.0 192.168.1.44 -p
Das ist natürlich nervig und man kann nur hoffen das du einen einigermaßen intelligenten DSL Router hast der statische Routen supportet ?!
Dann routet der Router alles sauber an den OpenVPN Server und es sollte problemlos klappen !!
Checken kannst du das immer mit einem Traceroute (tracert) oder pathping Kommando !
OK,
mein Router kann routing. Aber falls ich mal
einen Router habe bei dem das nicht geht...
Könnte man an den Clients die Gateway einfach
auf den VPN-Server zeigen lassen? Würde das
auch funktionieren?
Gruß
Tim
mein Router kann routing. Aber falls ich mal
einen Router habe bei dem das nicht geht...
Könnte man an den Clients die Gateway einfach
auf den VPN-Server zeigen lassen? Würde das
auch funktionieren?
Gruß
Tim