Re: OpenVPN und Routing machen mich konfus...
Hallo Axel, MichAEL,
Ich sende dir anbei auch mal meine Konfigurationsdateien. Vielleicht
nutzt es dir ja.
Allerdings glaube ich weniger, dass dein Problem darin zu finden ist,
denn im Wesentlichen scheinen meine und die von dir und Michael sich
nicht sehr zu unterscheiden. In meinen Augen ist das ein Routing
Problem:
Zu meiner Struktur.
VPN Server ist ein openSUSE Rechner (192.168.2.117, VPN 10.8.0.19)
Der Client VPN ist ein Debian Squeeze (192.168.179.22, VPN 10.8.0.6)
Beide VPN Rechner sind NICHT Standardgateway in dem jeweiligen LAN.
Die einzige Route, die ich in den Standardgateways gelegt habe ist eine
statische Route im VPN Server LAN: "10.8.0.0/24 GW 192.168.2.117 (LAN
IP des VPN Servers)
Von jedem einzelnen Rechner im VPN Server LAN sind zwei statische Route
auf den VPN Server Rechner gelegt. => 10.8.0.0/24 GW 192.168.2.117, IF
eth0, sowie eine für das Client LAN => 192.168.179.0/24 GW 192.168.2.117
IF eth0
Der VPN Client, ebenfalls nicht Standardgateway, fungiert als Gateway
für das VPN Netz innerhalb seines LAN's Dort sind 2 Routen gelegt.
1. 10.8.0.0/25 GW 10.8.0.5 IF tun0
2. 192.168.2.0/24 Server LAN) GW 10.8.0.5 IF tun0
Die letzte wurde durch die "push route" Anweisung des Servers erzeugt.
Die Rechner im Client LAN besitzen ebenfalls eine Route auf den VPN
Client, also etwa so
10.8.0.0/24 GW 192.168.179.22 IF eth0 und
192.168.2.0/24 GW 192.168.179.22 IF eth0
Letzteres kann man wahrscheinlich auch durch einen entsprechenden
Routingeintrag im Standardgateway des Client LAN's ersetzen, habe das
aber nicht ausprobiert
Das wars. Bin mir aber jetzt nicht ganz sicher, ob ich in dem
Standardgateway des Clientt LAN's überhaupt irgendeine Route gelegt
habe, da ich im Moment nicht nachschauen kann.
Die Konfigs sehen so aus:
1. Client.conf.
client pull
dev tun
proto tcp
remote $my-server 1194
resolv-retry infinite
user nobody
group nogroup
persist-key
persist-tun
mute-replay-warnings
ca ***ca.crt
cert** client.crt
key **client.key
ns-cert-type server
tls-auth /etc/openvpn/easy-rsa/2.0/keys/ta.key 1
comp-lzo
verb 3
mute 20
2. Server.conf:
port 1194
proto tcp
dev tun
ca ***ca.crt
cert ***server.crt
key ***/server.key
dh ***/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist 10.8.0.1 10.8.0.2
push "route 192.168.2.0 255.255.255.0"
client-config-dir ccd
route 192.168.179.0 255.255.255.0
client-to-client
keepalive 10 120
tls-auth ***ta.key 0
comp-lzo
user nobody
group nobody
persist-key
persist-tun
verb 3
mute 20
Gruß Dirk
Reply to: