2 Boxen per VPN wie ein netzwerk?

[mcmic]

Hi Leutz,

ich bastel jetzt seit geraumer Zeit an diesem OpenVPN herum.

Mein Ziel ist es 2 Boxen so miteinander zu vernetzen das die an den Boxen hängenden Rechner sich verhalten als wären sie in einem netzwerk.

Sprich das sich die rechner alle gegenseitig in der netzwerkungebung sehen und man gemeinsame resourcen wie drucker usw nutzen kann.

Ich hab es bisher geschafft nach den anleitungen eine IP Tunnel zwischen den Boxen zu basteln der lief. nutzt aber nichts zum vernetzen. Inzwischen weis ich das man da irgenwie bridgen muß als hab ich den server als ethernet tunnel aufgebaut nach einer anleitung von hier mit zertifikaten usw.
Mit nem XP rechner kann ich mich auch als client einloggen. Allerdings bekomme ich es nicht hin das die Boxen miteinander kommunizieren geschweige denn ein gemeinsames Netzwerk bilden.

Ich kann mir vorstellen das ich nicht der erste bin der versucht die Netzwerke zu einem zu machen. Und bestimmt hat das schon jemand mit mehr erfahrung versucht. Gibt es dazu ein tutorial? eine Anleitung?

Wie müssen die Netzwerke der Boxen sein? Im gleichen Subnetz, oder unterschiedliche? Wie muß der server bzw. der client konfiguriert werden um eine Netzwerkbrücke hinzubekommen?

Ich bin am Ende und komme einfach nicht weiter. Kann mir jemand mit Rat weiterhelfen???

M.

 

[vratislav]

Hallo,

Sprich das sich die rechner alle gegenseitig in der netzwerkungebung sehen und man gemeinsame resourcen wie drucker usw nutzen kann.

Wie müssen die Netzwerke der Boxen sein? Im gleichen Subnetz, oder unterschiedliche? Wie muß der server bzw. der client konfiguriert werden um eine Netzwerkbrücke hinzubekommen?

Da es ein Netzwerk sein soll, müssen alle Boxen / Clienten im gleichen Subnetz sein. Dies läßt sich z.B. erreichen, wenn die beiden Boxen jeweils einen anderen Bereich für DHCP verwalten. Z.B.: Box 1: 192.168.1.1 - 99 - Box 2: 192.168.1.100-130. Natürlich dürfen auch die Boxen selbst nicht die selbe interne IP haben. Z.B.: Box1: 192.168.1.1 Box2: 192.168.1.100. Dies alles ist jedoch relativ leicht über das Box-Menü einzustelllen.

Es muss nur bei der Serverbox eine Netzwerkbrücke eingebaut werden. Dies geht über die ar7.cfg welche mit nvi bearbeitet werden muss. Folgenden Teil suchen und um "tap0" ergänzen.

brinterfaces {
name = "lan";
dhcp = no;
[...]
interfaces = "eth0", "usbrndis", "eth1", "tiwlan0",
"wdsup0", "wdsdw0", "wdsdw1", "wdsdw2",
"wdsdw3", [b]"tap0"[/b];
dhcpenabled = no;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
}

Anschließend neu starten oder "/etc/init.d/rc.net reload". Bei allen Änderungen der ar7.cfg muss man sich der Gefahr falscher Einträge bewußt sein.

Das sollte es gewesen sein. Weitere Routen oder ähnliches müssen nicht angelegt werden.

Hier noch mal mein Teil aus der Server.ovpn für die Brücke von OpenVPN.

# Server-Einstellungen
mode server
tls-server
server-bridge 192.168.1.1 255.255.255.0 192.168.1.100 192.168.1.130

192.168.1.1 ist die IP der Serverbox. 192.168.1.100 - 192.168.1.130 der IP-Bereich der Clientbox.

Viel Erfolg

Gruß,
Björn

 

[mcmic]

Na da sag ich mal herzlichen Dank!!

Das werde ich morgen mal ausprobieren.

- Die Boxen ins selbe SUbnetz aber unterschiedlichen IP`s
- in der ar7.cfg die tab Brücke einrichten.
- Den Server u. client mit dev tab starten

DANKE !!!!

 

[mcmic]

Sooo .... ich hab mal experimentiert:

in den beiden Boxen hab ich in der ar7.cfg den tap0 mit eingefügt.

Die Server Box startet mit folgender config:

mode server
proto udp
port 1194
dev tap
dev-node /dev/misc/net/tun
tls-server
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
key /var/tmp/vpn/fritzbox.key
dh /var/tmp/vpn/dh1024.pem
client-to-client
float
ping 10
ping-restart 180
push "ping 10"
ping-restart 60
push "ping-restart 60"
verb 4
server-bridge 192.168.178.200 255.255.255.0 192.168.178.201 192.168.178.250

Mit einem XP-Client kann ich mich wunderbar auf den Server einloggen und sehe auch das angeschlossene Netzwerk. Klappt perfekt.

Nur, wie zum Teufel muß ich den die Client-Box konfigurieren damit sie sich einloggen kann?
Ich habs damit versucht:

float 
port 1194
proto udp 
dev tap 
dev-node /dev/misc/net/tun 
tls-client 
ns-cert-type server 
remote xxxxxx.dnsorg.com 
ca /var/tmp/vpn/ca.crt 
cert /var/tmp/vpn/client01.crt 
key /var/tmp/vpn/client01.key 
auth SHA1 
cipher AES-256-CBC

bekomme aber immer einen Fehler mit nicht erreichbar bla bla ... Fehler 148

Kann mir jemand mit der client config helfen? So das die beiden Netze zu einem verschmelzen? Ich komm da irgendwie nicht weiter ..... :noidea:

Ach ja die Server Box hat : 192.168.178.200
die angeschlossenen PC : 192.168.178.220 - 192.168.178.224
die Client Box : 192.168.178.1
die angeschlossenen PC : 192..168.178.20 - 192.168.178.24

(kein WLAN, wie es dann damit klappt weiß ich nicht)

Wäre echt dankbar für ein paar Tipps!!!

 

[vratislav]

in den beiden Boxen hab ich in der ar7.cfg den tap0 mit eingefügt.

Diese Änderung muss meiner Meinung nach nur bei der Serverbox durchgeführt werden. Möglicherweise ist die zweite Brücke zuviel.

Mit einem XP-Client kann ich mich wunderbar auf den Server einloggen und sehe auch das angeschlossene Netzwerk. Klappt perfekt.

Glückwunsch. Damit hast du den schwierigeren Teil geschafft. Client ist meist einfacher ....

Im Prinzip wird die Config-Box wie dein XP-Client konfiguriert.

Bei mir sieht das Config File so aus:

client
port 1194                                       
proto udp                                   
dev tap0
dev-node /dev/misc/net/tun

remote ---------.ath.cx

auth SHA1                                     

cipher AES-256-CBC                             
     
ca ca.crt
cert client.crt
key client.key  # This file should be kept secret
dh dh1024.pem                  

#keepalive 10 120                                .

auth SHA1                                     

cipher AES-256-CBC                             

comp-lzo             
mtu-test
#tun-mtu 1500
#mssfix 1450
#fragment 1450                           

verb 4

"ns-cert-type server" irritiert mich. Ich denke es ist der client.

Wie lautet die Fehlermeldung genau ?

EDIT:

Gerade gesehen:

die Client Box : 192.168.178.1
die angeschlossenen PC : 192..168.178.20 - 192.168.178.24

und

server-bridge 192.168.178.200 255.255.255.0 192.168.178.201 192.168.178.250

Die Client-Box und die Rechner auf der Client-seite sollten eine IP zwischen 192.168.178.201 und 192.168.178.250 haben. Sonst stimmt die server-bridge Zeile nicht. Den Clienten ist dieser Bereich zugewiesen. Auch die fritz.box auf Client-seite ist selber Client. Dementsprechend sollten die Rechner auf der Serverseite einen Bereich ausserhalb dieser IP's haben.

Gruß,
Björn

 

[mcmic]

ich bekomme bein start des clienten folgende Fehlermeldung:

us=453115 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH] :No route to host (code=148)

Wie, no route??? Was muß ich denn noch eintragen damit die Box die andere findet??? Portfreigaben und den ganzen kram hab ich drin...

 

[vratislav]

Hallo,

us=453115 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH] :No route to host

Zeig mal den Ausschnitt der Portfreigabe aus der ar7.cfg.

Für udp muss die Freigabe so sein:

"udp 0.0.0.0:1194 0.0.0.0:1194"

Frag mich nicht warum. Deinen Fehler hatte ich aber vor dieser Änderung bei mir auch. Ansonsten probier TCP.

Gruß,
Björn

 

[maceis]

"No route to host" hatte ich bei einer anderen Konfiguration schon.
Es deutet darauf hin, dass der OpenVPN-Client den Rechner "---------.ath.cx" nicht erreichen kann.
Mir hatten damals die Ausgabe der Routingtabelle mit dem Kommando "route" und ein "traceroute remotehost" die Augen geöffnet.

 

[mcmic]

Hmmm ....

meine Portfreigabe erfolgt nicht mit:

"udp 0.0.0.0:1194 0.0.0.0:1194"

Ich habe eine virtuelle Netzwerkkarte angelegt 192.168.178.215
Und dann ganz normal im WebInterface eine Portfreigabe auf diese IP mit dem Port 1194 gelegt. Auf diese Art und weise arbeitet auch meine Portfreigabe für SSH, FTP und mini_http erfolgreich.

Ich kann mich auch erfolgreich von einem XP-CLienten in die Box einloggen.
Also ist der Port offen.
Nur von der Box zu Box geht es nicht.

Außerdem ist mir aufgefallen:

Wähle ich mich mit einem XP-Rechner über ISDN ins web kann ich ganz toll auf die jeweilige Box zugreifen.

Starte ich den XP-Clienten hinter der FritzBox (DSL) und veruche als XP-Client auf die andere Box zu kommen klappt das auch nicht. Hmmm ..... alles seeeehr komplex !!

Ich werde das mit traceroute mal versuchen. route habe ich schon aufgerufen aber nichts auffälliges entdecken können ....

 

[vratislav]

Ich habe eine virtuelle Netzwerkkarte angelegt 192.168.178.215
Und dann ganz normal im WebInterface eine Portfreigabe auf diese IP mit dem Port 1194 gelegt. Auf diese Art und weise arbeitet auch meine Portfreigabe für SSH, FTP und mini_http erfolgreich.

wie gesagt hat dieser Weg bei mir auch nicht mit udp funktioniert. Übrigens scheint diese Möglichkeit generell Probleme zu bereiten:

http://www.ip-phone-forum.de/showthread.php?t=102423

Probier es ggf. erstmal mit TCP.

Und weiter:

Starte ich den XP-Clienten hinter der FritzBox (DSL) und veruche als XP-Client auf die andere Box zu kommen klappt das auch nicht. Hmmm ..... alles seeeehr komplex !!

Hast du meine Anmerkung zu deinem Netz berücksichtigt ?

Deine Config:

server-bridge 192.168.178.200 255.255.255.0 192.168.178.201 192.168.178.250

Zwingende Schlüsse:
1. 192.168.178.200 ist die Server-Fritz-Box.
2. Die Rechner im Netz der Server-Fritz Box haben einen anderen Bereich als: 192.168.178.200 - 192.168.178.250
3. Die Client-Fritz-Box und deren Clienten im Netz sind im IP-Bereich 192.168.178.201 - 192.168.178.250

Dies stimmt jedenfalls mit dem:

Ach ja die Server Box hat : 192.168.178.200
die angeschlossenen PC : 192.168.178.220 - 192.168.178.224
die Client Box : 192.168.178.1
die angeschlossenen PC : 192..168.178.20 - 192.168.178.24

nicht überein.

Gruß,
Björn

 

[mcmic]

Also Leute,ich weiß auch nicht.
Dieses OpenVPn nervt langsam.

Ich bekomme es nicht hin das sich die Netzwerke sehen.

Hat das denn nun jemand überhaupt schon mal geschafft?

Ich habe Ping mit nem IP Scanner sehe ich ALLE Rechner, beider Netzwerke. Incl. Name, Hostname, MacAdresse usw. Aber ich schaffe es nicht das alle Rechner in der XP-Netzwerkungebung angezeigt werden.

Ich weiß echt nicht was ich noch tun kann. Und langsam glaube ich das das gar nicht geht, denn auch die Hinweise sind alle eher wage als ganz konkret was man einzustellen hat.

Bitte , wenn jemand noch was dazu weiß WIE man das zum laufen bekommen kann ich wäre wirklich dankbar!

 

[miefquirl]

hey ich wei nicht obs noch aktuell ist aber wenn du die rechner pingen kannst dann ist doch alles wunderbar, denn sehen wirst du sie meines wissen nicht da jeder rechner im normalen netzwerk immer eine art "ping" sendet der den anderen rechnern sagt, dass er da ist (und du ihn somit in deiner windows netzwerkumgebung angezeigt siehst)
aber da es sich hier um ein vpn handelt wäre das ja ein morz traffic wenn da zb 100 rechner dranhängen würden die dann alle in regelmäßigen abständen sagen "ich bin da" (jetzt als beispiel) und ich glaub aus diesem grund wird dieser art von "ping" (weiß nicht wie ich das nennen soll) von der box, von haus aus, nicht mitgesendet. auch irgendwie logisch bremst ja auch das netz unnötig.
aber:
da es jamit dem cp clienten funktioniert, kann ich mir nur so erklären, dass dieser aus "benutzerfreundlichen" gründen den "ping" explizit anfrägt, damit der Win user nicht in panic gerät

but du kannst ja auch wenn du die rechner nicht siehst in deiner netzwerkumgebung auf diese direkt zugreifen
schreib in die adresszeile vom explorer: \\ip oder rechnername(hostname)\freigegener ordner laufwerk
also so wenn ich auf den rechner (hostname/computername(steht unter systemsteuerung/systeminformation in kartei "allgemein") hannes mit der ip 192.168.178.205 auf den freigegebenen ordner mp3 zugreifen möchte

\\192.168.178.205\mp3

oder mit hostnamen

\\hannes\mp3

aber wie gesagt
ich kanns dir nur so erklären
vielleicht weiß es ja einer besser

gruss


ps

aso ich will auch grad zwei 7170 boxen miteinander verbinden aber ich find den einstieg nicht weil ich nicht weiß wo die ar7.cfg liegt bzw was ich als erstes machen muss wenn ich kein mod drauf hab nur telnet connection und die aktuelle firmware 29.04.06

 

[TWELVE]

Wenn die PCs nicht in der Netzwerkumgebung erscheinen, könnte das ein Hinweis darauf sein, das Du keine Brücke gebaut hast.Alles was über IP läuft, scheint bei Dir zu funktionieren.Das MS Netzwerk verwendet NetBios Broadcasts, um die PCs zu announcen.Dies ist einen Layer tiefer als IP (Ethernet / Layer-2) und wird nur von einer Brücke transportiert.
Das der Zugriff auf die Freigabe selber keine Probleme bereitet, liegt daran, das hier seit längerem Netbios over TCP/IP bzw. CIFS verwendet wird ( werden kann).Alles diese Protokolle arbeiten also ohne Probleme über TCP/IP und können deshalb geroutet werden, während Ethernet Broadcasts nicht über die Broadcast Domain ( i.a. = alles was am gleichen Switch hängt) hinauskommen.Eine Brücke stellt man sich am besten als Ethernet-Switch vor.

Gleiches würde zutreffen für andere Protokolle, die ebenfalls auf Ethernet aufsetzen ( z.B. XiMeta LPX-Protokoll).Mit einem Netzwerk Sniffer wie Ethereal läßt sich sehr schnell herausfinden, was wirklich los ist.


Grüße

TWELVE