Re: [OpenVPN] Pro Client eine Session ?
Am 14.03.2005 um 18:13 schrieb Michelle Konzack:
local 123.4.5.6
^^^^^^^^^
Die sollte doch wohl mit dem "ifconfig" Eintrag correspondieren
oder ? Also iregndwas mit 172.16.X.X.
Das ist die Adresse der lokalen Schnittstelle, also zum Beispiel die
Adresse von eth0. "local" kann man auch weglassen, dann lauscht OpenVPN
auf allen Schnittstellen. Hm, es wäre eindeutiger, wenn das
Schlüsselwort "listen" anstatt "local" heißen würde.
ifconfig 172.16.0.1 255.255.0.0
push "route-gateway 172.16.0.1"
Was mußt Du bei ifconfig angeben ? Welche IP ist das ?
Das ist die IP-Adresse, die das tap-Device bekommt. Mit den tap-Devices
bildest Du ein virtuelles Transportnetz, mit denen Du die
physikalischen Netze verbindest.
Im folgenden Beispiel ist der VPN-Server in der Mitte. Links und rechts
sind die Netze, die miteinander verbunden werden sollen.
Netz 1 tap0 Internet tap0 Internet tap0
Netz 2
192.168.1.0/24 --- 172.16.0.2 -------- 172.16.0.1 -------- 172.16.0.3
--- 10.0.0.0/8
eth0:56.7.8.9 eth0:123.4.5.6 eth0:76.5.4.3
eth1:192.168.1.1 eth1:10.0.0.1
Links gibt es ein Netz, in dem die IP-Adressen aller Rechner aus dem
Bereich 192.168.1.0/24 kommen. Der dortige Router ist via eth1 in
diesem Netz. Über eth0 ist er im Internet. Der VPN-Server ist im
Internet unter der Adresse 123.4.5.6 erreichbar. Rechts sieht es
ähnlich aus, nur dass das dortige Netz die Adresse 10.0.0.0/8 hat.
Mit OpenVPN bildest Du ein Transportnetz. Der VPN-Server hat die
virtuelle Adresse 172.16.0.1, die beiden Router (Clients) in den zu
verbindenden Netzen bekommen von OpenVPN die Adressen 172.16.0.2 und
172.16.0.3.
Wenn Du vom linken auf das rechte Netz zugreifen möchtest, stellst Du
auf allen Rechnern im linken Netz den Router mit der Adresse
192.168.1.1 als Standardgateway ein. Auf dem Router selbst richtest Du
mit Hilfe von OpenVPN eine statische Route ein, die alles, was ins Netz
10.0.0.0/8 soll zum Server, d.h. nach 172.16.0.1 schickt. Der
VPN-Server wiederum muss so konfiguriert sein, dass er diese Pakete
weiter zu 172.16.0.3 leitet. Auf der rechten Seite gibt es eine Route,
die alles für 192.168.0/24 über 172.16.0.1 schickt.
Was ich daran nicht verstehe, ist der Client der sich
zu DIESEM Server conneted ein $HOST oder $NETWORK ?
Ein Host. Du baust eine Punkt-zu-Punkt-Verbindung auf. Die Netze werden
mit entsprechenden Routen verbunden.
Im Unterverzeichnis ccd liegt für jeden Client eine
Konfigurationsdatei mit dem sog. Common Name aus dem Zertifikat als
Dateiname. [..] Was muß in der Datei alles drinstehne ?
Eigentlich nur ifconfig-push, um dem Client eine IP-Adresse zuzuweisen.
Allerdings kannst Du Adressen mit OpenVPN auch dynamisch vergeben, so
dass Du auf client-config-dir ganz verzichten kannst. Ich habe es aber
gerne, wenn Clients immer dieselbe IP-Adresse verwenden, da ich dann in
den Logdateien keine wechselnden Adressen habe.
Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere
Route angelegt:
ifconfig-push 172.16.0.2 255.255.0.0
push "route 192.168.1.0 255.255.255.0"
Das verstehe ich nicht...
Wo soll diese Config sein ? Auf dem VPN Server oder Client ?
Auf dem Server. Mit client-config-dir gibst Du ein Verzeichnis an, in
dem für jeden Client eine eigene Konfigurationsdatei liegt. Im Prinzip
nichts weiter als ein "include".
Reply to: