OpenVPN: öffentliches Netz an Client weitergeben
Hallo zusammen,
ein Kumpel und ich versuchen folgendes zu realiesieren:
Ausgangssituation:
Wir haben einen virtuellen Server der bei einem Provider im Rechenzentrum steht. In das VLAN des vServer sind 2 Netze geroutet. Das 1. Netz 188.240.142.62/28 ist für das Hostsystem vorgesehen. Das 2. Netz 200.17.240.160/27 für OpenVPN-Clients. Hinweis: Die Netze sind rein fiktiv und entsprechen nicht den echten Netzen. In beiden Netzen gibt es von dem Provider ein Gateway ins Internet.
Vorhaben:
Es soll eine flexible Anzahl von Clients geben, die sich an dem OpenVPN-Server anmelden dürfen. Jedem Client soll eine feste IP aus dem 2. Netz (200.17.240.160/27) zugewiesen werden. Optimal wäre sogar kleine Subnetze auf dem /27. Zunächst wären wir aber mit einer festen IP zufrieden. Wir haben das auch schon hinbekommen, das dem Client die IP zugewiesen wird. Leider wird der Traffic von extern nicht zu dem Client geroutet und der Client behält nach außen (z.B. wieistmeineip.de) die IP-Adresse die er von seinen eigenen Provider zugeteilt bekommen hat.
Die Clients sind Windowssysteme. Der Server ist ein Debian Wheezy.
Also Bild habe ich mal den Aufbau skizziert.
Es wäre echt super, wenn uns jemand beim erstellen der servers.conf und die Client.ovpn helfen könnte.
ein Kumpel und ich versuchen folgendes zu realiesieren:
Ausgangssituation:
Wir haben einen virtuellen Server der bei einem Provider im Rechenzentrum steht. In das VLAN des vServer sind 2 Netze geroutet. Das 1. Netz 188.240.142.62/28 ist für das Hostsystem vorgesehen. Das 2. Netz 200.17.240.160/27 für OpenVPN-Clients. Hinweis: Die Netze sind rein fiktiv und entsprechen nicht den echten Netzen. In beiden Netzen gibt es von dem Provider ein Gateway ins Internet.
Vorhaben:
Es soll eine flexible Anzahl von Clients geben, die sich an dem OpenVPN-Server anmelden dürfen. Jedem Client soll eine feste IP aus dem 2. Netz (200.17.240.160/27) zugewiesen werden. Optimal wäre sogar kleine Subnetze auf dem /27. Zunächst wären wir aber mit einer festen IP zufrieden. Wir haben das auch schon hinbekommen, das dem Client die IP zugewiesen wird. Leider wird der Traffic von extern nicht zu dem Client geroutet und der Client behält nach außen (z.B. wieistmeineip.de) die IP-Adresse die er von seinen eigenen Provider zugeteilt bekommen hat.
Die Clients sind Windowssysteme. Der Server ist ein Debian Wheezy.
Also Bild habe ich mal den Aufbau skizziert.
Es wäre echt super, wenn uns jemand beim erstellen der servers.conf und die Client.ovpn helfen könnte.
Please also mark the comments that contributed to the solution of the article
Content-Key: 290693
Url: https://administrator.de/contentid/290693
Printed on: April 23, 2024 at 06:04 o'clock
1 Comment
Leider wird der Traffic von extern nicht zu dem Client geroutet und der Client behält nach außen (z.B. wieistmeineip.de) die IP-Adresse die er von seinen eigenen Provider zugeteilt bekommen hat.
Das ist eigentlich Unsinn und kann nicht sein.Nimm als Beispiel die hiesige OVPN Anleitung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dein internes OVPN Servernetz hat die 200er Adresse deshalb steht in der Server.conf dann:
server 200.17.240.160 255.255.255.224
Wenn du nun von außen auf diesen OVPN Server zugreifst bekommt der Client auf dem virtuellen OVPN Netzadapter immer eine 200er IP !
Einen OVPN Winblows Client jetzt mal vorausgesetzt stimmt es niemals das bei Eingabe von ipconfig -all bei aktiv eingewähltem OVPN Client dann eine andere öffentliche IP an diesem Adapter anliebt als diese 200er IP.
Das wäre Unsinn..oder du hast schlicht und einfach nicht richtig hingesehen.
Fazit: Der Client kommt am Server also IMMER mit dieser 200er IP Adresse raus.
Damit ist aber auch klar, das der Router beim Hoster das 200.17.240.160er Netz auf die physische IP des Servers routen muss.
Logisch, denn sonst kommen IP Pakete aus dem Internet mit einer Zieladresse 200.17.240.1xx nie am OVPN Host an bzw. werden nicht dahin geroutet.
Ferner muss auf dem Server IP Forwarding sprcih Routing im Kernel aktiviert sein damit dieser diese Pakete wieder zu den VPN Clients routen kann.
Beachtet man das funktioniert das alles wunderbar.