4
Per OpenVPN Verbindung in die Windows Domäne
Hallo,
Ich stehe etwas auf dem Schlauch, ich möchte OpenVPN als Dienst vor der Windowsanmeldung laden und dann mich in meine Domäne einloggen können.
Die OpenVPN Verbindung selbst steht schon, Routing ins Zielnetzwerk klappt soweit auch. Nur der DNS funktioniert nicht richtig.
Der Aufbau soll also ungefähr so aussehen:
Client --- Internet --- Domaincontroller mit OVPN Server
IP-Vergabe:
Domaincontroller / OVPN Server:
Externe IP-Adresse (fest): 123.123.123.123
Interne IP-Adresse: 192.168.100.1
VPN IP-Adresse: 192.168.10.1
Cientseite:
Lokale IP: 192.168.3.103
VPN IP: 192.168.10.2
Der Domaincontroller vergibt IPs ins 100er Netz per DHCP, der OpenVPN Server vergibt, auch per DHCP, 10er IPs an die VPN-Clients.
Gelesen habe ich, dass ich nur den DNS vom DC routen müsste, aber irgendwie scheint dies nicht richtig zu funktionieren bzw. mache ich wahrscheinlich etwas falsch.
Einen Schritt weiter wäre evtl. noch, dass der Haupt-DHCP IPs an OVPN-Clients ins 100er Netz gibt. Die Frage ist ob das möglich ist.
Vielen Dank schonmal für die Hilfe
Felix
server.ovpn
client.ovpn
Ich stehe etwas auf dem Schlauch, ich möchte OpenVPN als Dienst vor der Windowsanmeldung laden und dann mich in meine Domäne einloggen können.
Die OpenVPN Verbindung selbst steht schon, Routing ins Zielnetzwerk klappt soweit auch. Nur der DNS funktioniert nicht richtig.
Der Aufbau soll also ungefähr so aussehen:
Client --- Internet --- Domaincontroller mit OVPN Server
IP-Vergabe:
Domaincontroller / OVPN Server:
Externe IP-Adresse (fest): 123.123.123.123
Interne IP-Adresse: 192.168.100.1
VPN IP-Adresse: 192.168.10.1
Cientseite:
Lokale IP: 192.168.3.103
VPN IP: 192.168.10.2
Der Domaincontroller vergibt IPs ins 100er Netz per DHCP, der OpenVPN Server vergibt, auch per DHCP, 10er IPs an die VPN-Clients.
Gelesen habe ich, dass ich nur den DNS vom DC routen müsste, aber irgendwie scheint dies nicht richtig zu funktionieren bzw. mache ich wahrscheinlich etwas falsch.
Einen Schritt weiter wäre evtl. noch, dass der Haupt-DHCP IPs an OVPN-Clients ins 100er Netz gibt. Die Frage ist ob das möglich ist.
Vielen Dank schonmal für die Hilfe
Felix
server.ovpn
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\fs64srv1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\fs64srv1.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
# Server und Netzwerk
local 123.123.123.213 #externe IP des Servers
port 1194
proto udp
dev tap
server 192.168.10.0 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
push "dhcp-option DNS 192.168.100.1"
client-to-client
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
# Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3client.ovpn
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\fs01.crt"
key "C:\\Program Files\\OpenVPN\\config\\fs01.key"
client
dev tap
proto udp
remote 123.123.123.123 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
comp-lzo
verb 3
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232648
Url: https://administrator.de/contentid/232648
Printed on: April 20, 2024 at 05:04 o'clock
4 Comments
Latest comment
Hallo,
Edit
Wer vergibt denn an den VPN Klienten eine IP Adresse?
Der DC oder der OpenVPN Server?
Normaler weise kann man den PC hochfahren und
die Domainanmeldung auch zwischen speichern lassen.
Das macht MS Windows ab Version 7 automatisch.
Und wenn man sich dann mit dem entfernten Netzwerk
verbindet meldet man sich an der Domaine an.
Gruß
Dobby
--- Domaincontroller mit OVPN Server
Kannst Du den OpenVPN Server denn nicht woanders drauf installieren?Edit
Wer vergibt denn an den VPN Klienten eine IP Adresse?
Der DC oder der OpenVPN Server?
Normaler weise kann man den PC hochfahren und
die Domainanmeldung auch zwischen speichern lassen.
Das macht MS Windows ab Version 7 automatisch.
Und wenn man sich dann mit dem entfernten Netzwerk
verbindet meldet man sich an der Domaine an.
Gruß
Dobby
Also Der DC vergibt für die Internen Clients die IPs (192.168.100.0) Der VPN Server (welcher auf dem gleichem Rechner liegt) verteilt per DHCP an die VPN Clients (192.168.10.0). Das eine ist die Windows Rolle, das andere der OpenVPN intigrierte DHCP.
EDIT
In der Domäne bin ich jetzt drin, allerdings funktioniert die DNS auflösung noch nicht richtig / garnicht. Die Konfiguration ist soweit gleich geblieben.
EDIT
In der Domäne bin ich jetzt drin, allerdings funktioniert die DNS auflösung noch nicht richtig / garnicht. Die Konfiguration ist soweit gleich geblieben.
Hi,
Du hast mit dem VPN-Tunnel ein "Tap" Device kreiert.
Das bedeutet, Du machst kein Routing, sonder hast eine Bridge, somit sollten internes Netz und remotes Netz im gleichen IP-Range liegen.
Vom Prinzip her, hast Du dann ein Netz.
Wenn Du eine 24er Netzmaske verwendest, (was Du uns aber nicht verraten hast) ist das aber nicht der Fall.
Ausserdem verwendest Du in der Server.conf den Eintrag "client-to-client" , der sollte eigentlich dazu dienen, mehrere remote Standorte miteinander zu verbinden (Multiclienttunnel).
Ob das nun Dein Problem löst, sei mal dahingestellt.
Ich würde an Deiner Stelle @108012´s Vorschlag mal überdenken...
Keine gute Idee, sowas als "Infantrie" zu "verheizen"...
Gruß orcape
Du hast mit dem VPN-Tunnel ein "Tap" Device kreiert.
Das bedeutet, Du machst kein Routing, sonder hast eine Bridge, somit sollten internes Netz und remotes Netz im gleichen IP-Range liegen.
Vom Prinzip her, hast Du dann ein Netz.
Wenn Du eine 24er Netzmaske verwendest, (was Du uns aber nicht verraten hast) ist das aber nicht der Fall.
Ausserdem verwendest Du in der Server.conf den Eintrag "client-to-client" , der sollte eigentlich dazu dienen, mehrere remote Standorte miteinander zu verbinden (Multiclienttunnel).
Ob das nun Dein Problem löst, sei mal dahingestellt.
Ich würde an Deiner Stelle @108012´s Vorschlag mal überdenken...
Kannst Du den OpenVPN Server denn nicht woanders drauf installieren?
So wie es aus Deinen Schilderungen hervorgeht, liegt bei Dir der "Domaincontroller mit OVPN Server" in vorderster Front.Keine gute Idee, sowas als "Infantrie" zu "verheizen"...
Gruß orcape
2
Also ich habe es jetzt geschafft. Ich weiß leider aber nicht genau wie ich es getan habe. Es lag unter anderem an dem Punkt "client-to-client". Danke für die Hilfe
