[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN und Routing machen mich konfus...



Am 03.10.2010 00:08, schrieb Dirk Linnerkamp:
> Hallo Axel,

Hi Dirk und Danke für Deinen Beitrag!

> zunächst mal vorweg, nur damit ich deine Netzwerkstruktur richtig
> verstehe.
>
> 1. Du hast einen VPN Server und auch nur  _einen_ VPN Client. Sowohl
> Server, als auch Client befinden sich in einem LAN.

Fast, ursprünglich ist es als eine Client-to-Net Umgebung gedacht, nur mit meiner Verbindung muss es ein Net-to-Net sein und "client-to-client"
damit die VPN-Clients untereinander ggf. Daten austauschen können.

> 2. Du möchtest, dass die Rechner deines Server LAN's mit den Rechnern
> deines Client LAN's kommunizieren.

ja genau! Und umgekehrt funktioniert es ja schon.

> 3. Die anderen Rechner des Client LAN's sind  _keine_  weiteren VPN
> Clients.

Richtig.

> So verstehe ich dich jedenfalls.
>
> Daraus folgernd vermute ich mal:
>
> Am Samstag, den 02.10.2010, 03:45 +0200 schrieb ako:
>>
>> Firewall/Standard-Gateway(192.168.200.250):
>> Static routing ->  10.8.0.0/24 GW 192.168.200.14
>> und sicherheitshalber auch noch
>> 192.168.10.0/24 GW 192.168.200.14
>
> ...beide Einträge _müssen_ vorhanden sein! Das ist also rchtig.

gut so!? ok.

> -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
>> Vom Server-LAN zum Client-LAN und AUCH der OpenVPN-Server selbst kann
>> nicht zur IP des Clients "pingen" (?), allerdings zur IP 10.8.0.6
>
>> duplicate-cn
>
> 1. Kommentiere diesen Eintrag in der Server.conf mal bitte aus! Der ist
> eh nur dann relevant, wenn du  _mehrere_  VPN Clients benutzt und

Das brauchte ich bisher, weil ich mir kein weiteres Zertifikat angelegt habe, da ich auch mobil Zugriff brauche.

>> in "ccd" gibts noch eine Datei ->  ako
>> iroute 192.168.10.0 255.255.255.0/24
>
> 2. Die Datei in deinem ccd Directory mit dem "iroute" Eintrag muss den
> gleichen (Client)Namen haben, wie er in seinem Zertifikat steht. Also
> wenn die  Datei in dem ccd Verzeichnis z.B. "ako" heißt, muss dass
> entsprechende Client Zertifikat ebenfalls "ako.crt" heißen. Der Server
> überprüft den Inhalt des ccd Verzeichnis dahingehend, ob eine darin
> enthaltene Datei zu einem entsprechenden Client Zertifikat passt.

Ja, genau so. Ich habe eine "ako.p12" Datei und die Datei im "ccd" lautet "ako".

> 3. Du hast nicht vergessen IPv4 Forwarding auch auf deinem VPN Client zu
> aktivieren? (echo net.ipv4.ip_forward=1>>  /etc/sysctl.conf)

Schau mal hier die Ausgabe auf/vom OVPN-Client:
:~# cat /proc/sys/net/ipv4/ip_forward
1
:~# cat /proc/sys/net/ipv4/conf/*/forwarding
1
1
1
1
1
:~# ls -l /proc/sys/net/ipv4/conf/*/forwarding
/proc/sys/net/ipv4/conf/all/forwarding
/proc/sys/net/ipv4/conf/default/forwarding
/proc/sys/net/ipv4/conf/eth0/forwarding
/proc/sys/net/ipv4/conf/lo/forwarding
/proc/sys/net/ipv4/conf/tun0/forwarding

> Damit sollte es eigentlich funktionieren. Tut es jedenfalls bei mir mit
> gleicher Netzstruktur.

Ok, so sollte es und sagt mir mein Verständnis auch so. Dann lag ich da also richtig. Bleibts für mich also weiterhin suspekt, wieso es dann nicht funktioniert.

> Gruß Dirk

Gruß axel


Reply to: