Box2Box VPN mit OpenVPN ?

[BuchIT]

Hallo Leute,

ich stehe gerade vor folgender Aufgabenstellung und habe hier
einiges zum Thema OpenVPN auf er FBF gelesen.
Meine Frage ist nun ob die das folgende Problem mit OpenVPN gelöst werden kann.

a) Box2Box VPN
Ich habe eine FBF7050, sitze in einem HomeOffice und baue z.Z. eine normale M$ VPN Verbindung zur Firma auf in der auch eine FBF 7050 läuft.
Könnte ich die beiden Boxen über einen VPN Tunnel so verbinden das alle
meine Netzwerk Geräte die über die FBF gehen im Firmennetz via VPN hängen ?
Es geht ganz einfach darum, das ich ein Telefon bekomme das sich via IP
an der Telefonanlage anmeldet und dazu muss eine VPN Verbindung bestehen.

b) Die Ausnahme
Das nächste Problem ist das in meinem Netzwerk im HomeOffice noch 2
"private" Rechner hängen die NICHT in das Firmennetz sollen, sondern ganz
normal nur ins I-Net können.


Wäre sowas mit einem Firmware Mod oder änhlichem machbar ?
Zu b)... Könnte man das dan über Routing Tabellen lösen ?
Ich habe leider zu wenig Knowhow in diesen Sachen.

Danke vorab.

Gruß Mike

 

[Eckat]

Also ich kann zur Lösung nichts beitragen.
Da es aber zeihmlich exakt, bis auf die 2 rein privaten Rechner, bei mir genauso sein soll, stelle ich mein Bitte mal hier mit rein.

Also bis ein Bekannter und ich auf die Fritz!Box Fon WLAN 7050 umgestiegen sind, haben wir als Router einen (alten) PC genutzt. Dieser arbeitete mit http://www.fli4l.de, allerdings damals noch in der Version 2.1.8.
Dafür gab/gibt es zusätzliche Pakete für eine ethernet-Bridge und openVPN. Darüber haben wir unsere beiden Heim-Netzwerke verbunden, sodaß es für die Geräte in den beiden Netzen keinerlei Unterschied gab. Ein eth-Bridge haben wird deshalb genommen, im Gegensatz zu einem Tunnel, da die eth-Bridge reine eth-Pakete "bearbeitet", hingegen der Tunnel IP-Pakete nutzt. Aber z.b. mußte man dann in unterschiedlichen Subnetzen arbeiten und zusätzliche Routen einrichten. Dazu gehen eben nur IP-basierte Anwendungen. Z.B. die Windows-/SMB-Freigaben funktionierten nicht.

Wie aus der untenstehenden Grafik zu erkennen, leiteten die Router über die Bridge, die mit openVPN verschlüsselt war, die Pakete weiter, die anhand der IP des Empfängers in "das andere" Netz gehörten. Die restlichen Anfragen etc. wurden in das "normale" Internet gesendet. Die Unterscheidung fand anhand des dritten Bit (ist das richtig? Meine die dritte Zahl) in der IP-Adresse statt. Die Subnetzmaske war bei uns beiden auf allen Rechner gleich 255.255.0.0.

Das funktionierte problemlos

Allerdings kam dann die Fritz!Box Fon WLAN 7050 raus, die soweit alle unsere Bedürfnisse ersetzte.
Ausschlaggebend diese zu kaufen war, dass sie IP-Telefonie beherrscht und dabei sowohl Analoge als auch ISDN Geräte intern unterstützt und das sie den alten Router-PC, DSL-Modem, Access-Point und Telefonanlage (also 4 Geräte) ersetzt. Ein nicht zu vernachlässigender Stromspareffekt.
Das soll nur verdeutlichen, dass eine Rückkehr zu dem System so nicht in Frage kommt.

Hier nun mal die Grafik, wie es "damals" war:

Achja, die IP-Adresse in der Grafik für die Router sind natürlich die internen Die externen werden wie üblich dynamisch vergeben. Die Verbindungsaufnahme der beiden Router erfolgt über Dienste wie dyndns.org.

Es fehlt uns halt "nur" die Bridge
Das einzige, was mir eingefallen war, die Router-PCs wieder jeweils vor die Fritz!Box zu setzen und dort die Bridge zu nutzen. Aber nur dafür wieder einen PC mehr 24/7 kaufen zu haben sehe ich nicht ein!

Gibt es also eine Möglichkeit die beiden Pakete (VPN [z.B. openVPN] und bridge) irgendwie in ein Image für die Fritz!Box Fon WLAN 7050 zu integrieren?
Leider reichen meine Fähigkeiten dafür bei weitem nicht aus, so etwas selbst zu versuchen.

So, das war es erstmal. Es wäre wirklich toll, wenn uns jemand helfen könnte. Gerne bin ich auch bereit, im Rahmen meiner Möglichkeiten, dabei zu helfen.

CU Eckat

 

[olistudent]

Hi.
Ich denke, dass das mit openvpn gehen sollte. Im dsmod gibt es auch ein Package dafür. Das ist zwar noch nicht ganz fertig, sollte aber schon funktionieren.
Mit statischen Keys funktioniert das ganze auch. Die Anleitung dazu steht hier im Forum.
Mit Server und Client hab ich das noch nicht hinbekommen.
Die Regel für den Server sieht so aus:

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

Wie und ob das jetzt auch ohne Server funktioniert kann ich dir nicht sagen, da ich mich mit openvpn nicht auskenne...

MfG Oliver

 

[danisahne]

b) Die Ausnahme
Das nächste Problem ist das in meinem Netzwerk im HomeOffice noch 2
"private" Rechner hängen die NICHT in das Firmennetz sollen, sondern ganz
normal nur ins I-Net können.

Die Fritzbox im HomeOffice stellt dann natürlich das Firmennetz dem ganzen Homenetzwerk bereit und du müßtest es dann per iptables wieder künstlich beschränken. Warum also nicht einfach im HomeOffice Netzwerk den OpenVPN Client auf den Rechner, der als einziger auf Firmennetzwerk zugreifen darf?

Mfg
danisahne

 

[BuchIT]

Die Fritzbox im HomeOffice stellt dann natürlich das Firmennetz dem ganzen Homenetzwerk bereit und du müßtest es dann per iptables wieder künstlich beschränken. Warum also nicht einfach im HomeOffice Netzwerk den OpenVPN Client auf den Rechner, der als einziger auf Firmennetzwerk zugreifen darf?

Mfg
danisahne

Hi,

danke für die Antwort.
So (VPN Client am PC) läuft es ja jetzt.
Ich bekomme aber ein IP Telefon das eine VPN Verbindung (über Router) zum Firmennetzwerk braucht um sich an der Telefonanlage anzumelden. Daher das ganze Spielchen.

Mal angenommen ich stelle alle PC's + Telefon vom HomeOffice ins Firmennetz, wie sieht das aus ?

Box 1 IP Kreis 172.16.0.x (Firma)
Box 2 IP Kreis 172.16.1.x (HomeOffice)

- Auf Box 1 und 2 läuft OpenVPN
- Beim Zugriff von HomeOffice oder Firmennetz auf eine Internetadresse wird "normal" is Web geroutet
- Beim Zugriff im HomeOffice auf eine IP mit 172.16.0.x wird in die Firma geroutet
- Beim Zugriff in der Firma auf eine IP mit 172.16.1.x wird ins HomeOffice geroutet.

Richtig so ?

Aber jetzt zum schwersten Punkt:
Thema Einrichtung:
Ich habe wie viele das Problem das ich keine Ahnung von Linux habe und
mich nach 5 Jahre MS-DOS und nun 11 Jahren Windows einfach schwer tue. Ich schaffe es nicht einen Mod fertig zu machen.

Ich schreib dir mal noch ne PN dazu.

--------------------------------------------------------------
Noch eine Ergänzung zum Thema: Trennung des Netzwerks.

Ich kann doch an der FBF 7050 einstellen das LAN A einen anderen IP Kreis hat als LAN B.

Könnte ich somit nicht die Netzwerke komplett trennen ?

Einstellung dann an der FBF im HomeOffice:
Firma => LAN A: 172.16.1.x
Home => LAN B: 192.168.178.x
Home => WLAN: 192.168.178.x

---------------------------------------------------------------------


mal angenommen ich kann den Mod weg lassen und lade OpenVPN nach
wie HIER beschrieben.

Wenn ich dann die Netzwerke trenne und die Konfiguration haben wie oben beschrieben,

wie müsste dann die OpenVPN Config Datei aussehen an der Server Box und an der Client Box ?
Weil so ganz blick ist das mit den Einstellungen nicht.


Gruß Mike

Edit by BuchIT: 3 Postings zusammen gefasst

 

[interhubi]

Box2Box funktioniert auch mit Server/client Zertifikaten:

Ich versuche mal eine Schritt für Schritt Anleitung.

Ausgangsbasis:
LAN1(192.168.10.0)<->FB1(192.168.10.254) <---> Inet
LAN2(192.168.20.0)<->FB2(192.168.20.254) <---> INet

VPN-Tunnel mit openvpn zwischen FB1 und FB2.

Zertifikate erstellen (gateway1Cert und Gateway2Cert mit gemeinsamen Root-Cert unterschreiben).

openvpn-exe von jspies http://www.ip-phone-forum.de/showthread.php?t=65863&page=9 verwenden, die funktioniert auf jeden Fall und hat die lib's statisch mit gelinkt.
Kann bei Telnet-Zugang über WGET hochgeladen werden. Ich habe dazu auf einem PC im LAN einen FTP-Server installiert. Das Verfahren ist hier im Forum aber schon tausendmal erklärt worden.


openconf.ovpn für FB1, die als Server fungiert:

# OpenVPN laeuft als Server und verwendet 192.168.201.0/24
# als VPN-Subnetz.
server 192.168.201.0 255.255.255.0
 
# Welcher Port soll verwendet werden? (Standard: UDP/1194)
proto tcp
port 1194

# Wir verwenden IP-Tunnel - also das tun-Device.
# Fuer Ethernet-Tunnel ist das tap-Device zu verwenden und ausserdem 
# die server-bridge-Option statt der o.g. server-Option.
;dev tap
dev tun

# node, der verwendet wird
dev-node /dev/misc/net/tun


# alle Zertifizierungsinfos in einer Datei!
pkcs12 /var/tmp/openvpn/config/cert/gateway1Cert.p12

# Diffie-Hellman-Parameter.
# Diese Datei kann wie folgt erstellt werden:
#   openssl dhparam -out /etc/openvpn/dh1024.pem 1024
dh /var/tmp/openvpn/config/cert/dh1024.pem

# Ein gemeinsamer Schluessel kann ausserdem verwendet.
# So koennen nur die Clients eine Verbindung aufbauen,
# die auch das Geheimnis kennen.
# (Ein kleiner Schutz gegen DoS-Attacken)
tls-auth /var/tmp/openvpn/config/cert/preshared.key 0

# Welche CRL-Datei wird verwendet?
# Die CRL ist eine von der CA unterschriebene Liste
# mit den Zertifikaten, die sich nicht anmelden dürfen.
crl-verify /var/tmp/openvpn/config/cert/crl.pem

# Pruefe, ob noch eine Verbindung mit dem Client besteht.
# Jede 10 Sekunden einen Ping, falls nach 60 Sekunden
# keine Antwort ankommt, wird ein Verbindungsabbruch angenommen.
keepalive 10 60

# Erhalte Verbindung falls Client-IP-Adressen
# waehrend der Verbindung sich aendern sollten.
# (z.B. bei Dial-Up-Reconnect)
float 

# Kompression fuer den Tunnel
;comp-lzo
 
# Ermoeglich mehrere gleichzeitige Verbindungen mit
# dem gleichen Zertifikat. (nicht empfohlen)
;duplicate-cn

# Abgeben der Prozess-Rechte nach dem Start:
# * persist-key   Lese die Schluessel nicht beim Neustart durch
#                 SIGUSR1 bzw. --ping-restart ein
# * persist-tun   Analog fuer den Zugriff auf das TUN/TAP-Device
persist-key
persist-tun

# Log-Level:
#
# 0 keine Ausgabe bis auf kritische Fehler
# 4 empfohlen fuer Standardbetrieb
# 5 und 6 zum Debuggen
# 9 maximal
verb 4

# Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog
daemon  # Sollte erst nach fertiger Konfiguration aktiviert werden

client-config-dir /var/tmp/openvpn/config/ccd
route 192.168.20.0 255.255.255.0

client-to-client
push "route 192.168.10.0 255.255.255.0"

Ich verwende zusätzlich noch einen preshared, die eigentliche Absicherung des Zugangs erfolgt aber über das Zertifikat

Das gateway2Cert.p12 (Zertifikat des Client, also der FB2) besitzt einen CN, z.B. gateway2.
In das Verzeichnis ccd muß eine Datei mit dem CN des Gateway2-Zertifikats als Dateiname angelegt werden mit folgendem Inhalt:

iroute 192.168.20.0 255.255.255.0

Damit weiß openvpn, das der Traffic zum Subnetz 192.168.20.0 über den VPN-Tunnel geleitet werden muß, der sich über das Zertifikat mit dem CN gateway2 authorisiert hat.

openconf.ovpn für FB2, die als Client fungiert:

# OpenVPN laeuft als Client.
client

# Angabe des Server-Daten.
# Bei mehreren remote-Eintraegen wird ein Load-Balancing versucht.
remote meineFB-Server.dyndns.org

 
# Welcher Port soll verwendet werden? (Standard: UDP/1194)
proto tcp
port 1194


# Wir verwenden IP-Tunnel - also das tun-Device.
# Fuer Ethernet-Tunnel ist das tap-Device zu verwenden und ausserdem 
# die server-bridge-Option statt der o.g. server-Option.
;dev tap
dev tun

# node, der verwendet wird
dev-node /dev/misc/net/tun


# alle Zertifizierungsinfos in einer Datei!
pkcs12 /var/tmp/openvpn/config/cert/gateway2Cert.p12


# Diffie-Hellman-Parameter.
# Diese Datei kann wie folgt erstellt werden:
#   openssl dhparam -out /etc/openvpn/dh1024.pem 1024
dh /var/tmp/openvpn/config/cert/dh1024.pem

# Ein gemeinsamer Schluessel kann ausserdem verwendet.
# So koennen nur die Clients eine Verbindung aufbauen,
# die auch das Geheimnis kennen.
# (Ein kleiner Schutz gegen DoS-Attacken)
# ACHTUNG: Letzter Parameter muss auf Client-Seite == 1 sein!
tls-auth /var/tmp/openvpn/config/cert/preshared.key 1

# Versuche den Hostnamen des Servers aufzuloesen auch nachdem
# keine Verbindung zum Internet bestand.
# Sinnvoll bei Clients, die keine permanente Internet-Anbindung haben.
resolv-retry infinite

# Clienten brauchen keinen Port binden.
#nobind

# Pruefe, ob noch eine Verbindung mit dem Server besteht.
# Jede 10 Sekunden einen Ping, falls nach 60 Sekunden
# keine Antwort ankommt, wird ein Verbindungsabbruch angenommen.
keepalive 10 60

# Kompression fuer den Tunnel
;comp-lzo


# Abgeben der Prozess-Rechte nach dem Start:
# * persist-key   Lese die Schluessel nicht beim Neustart durch
#                 SIGUSR1 bzw. --ping-restart ein
# * persist-tun   Analog fuer den Zugriff auf das TUN/TAP-Device
persist-key
persist-tun

# Log-Level:
#
# 0 keine Ausgabe bis auf kritische Fehler
# 4 empfohlen fuer Standardbetrieb
# 5 und 6 zum Debuggen
# 9 maximal
verb 4

# Daemon-Mode: keine Ausgabe auf das Terminal (stdout) sondern ins Syslog
daemon  # Sollte erst nach fertiger Konfiguration aktiviert werden


# Default-Route ueber VPN
route 192.168.10.0 255.255.255.0
push "route 192.168.20.0 255.255.255.0"

Meine Verzeichnisstruktur auf den FB's für openvpn:
/var/tmp/openvpn
/var/tmp/openvpn/bin
/var/tmp/openvpn/config
/var/tmp/openvpn/config/cert
/var/tmp/openvpn/config/ccd (nur Server)


Ich habe die Kompression ausgeschaltet, da ich mir davon eine geringere Belastung der FB erhoffe. Ich habe es aber auch erfolgreich mit Kompression getestet.

Die Zertifikate abe ich zusätzlich mit einem Passwort geschützt, der Parameter --askpass zu openvpn macht es dann auch möglich, openvpn als daemon auf der FB laufen zu lassen.

Um jetzt einen oder mehrere PC's des eigenen LAN's vom VPN-Tunnel auszusperren, kann die Route in der openvpn.ovpn entsprechend angepasst werden. Hab's noch nicht ausprobiert, sollte aber funzen!

Übrigens: Bei dieser Konstelation kann jeder auch zusätzlich von auswärts auf die FB1 zugreifen, natürlich nur mit gültigem User-Zertifikat!

Viele Grüße
interhubi

 

[BuchIT]

Hi,

ich habe das ganze jetzt auf 2 FBF's installiert:

Server FBF
IP: 192.168.178.1


Inhalt DEBUG.CFG

# load VPN-Server (OpenVPN)

# wait for server
while !(ping -c 1 MyServer)
do
  sleep 5
done

# change dir
cd /var/tmp

# write 'secret.key' to file
cat > /var/tmp/secret.key << 'ENDSECRETKEY'
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
MEIN KEY
-----END OpenVPN Static key V1-----

ENDSECRETKEY

# load files
wget http://myserver/files/openvpn/openvpn
wget http://myserver/files/openvpn/server.ovpn

# make them executable
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn
chmod 0600 /var/tmp/secret.key

# start OpenVPN
./openvpn --config ./server.ovpn

EOF

Inhalt der Server.ovpn

dev tun0
dev-node /dev/misc/net/tun
server 192.168.201.0 255.255.255.0
port 1194 # ggf ändern
secret /var/tmp/secret.key # darf nicht geändert werden
tun-mtu 1500
fragment 1500
float
keepalive 10 60
verb 4
mssfix
daemon
route 192.168.179.0 255.255.255.0
client-to-client
push "route 192.168.179.0 255.255.255.0"

Client FBF:
IP: 192.168.179.1
Debug wie open nur das die client.ovpn geladen wird.
Inhalt der Client.ovpn:

client
remote xxx.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
keepalive 10 60
dev tun
dev-node /dev/misc/net/tun
port 1194 # ggf ändern
resolv-retry infinite
tun-mtu 1500
fragment 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

Ich sehe überhaupt nix im Log.
Mit "ps" über telnet läuft kein OpenVPN Prozess
Es wird keine Verbindung aufgebaut zur anderen Fritzbox (denk ich) oder zu einem anderen PC im entfernten Netz.


HIIILFE !!

EDIT:
Folgender Fehler kommt wenn ich den Client manuel starte:
# ./openvpn --config ./client.ovpn
Options error: specify only one of --tls-server, --tls-client, or --secret
Use --help for more information.

Gruß Mike

 

[interhubi]

@BuchIT

Wenn Du eine Clinet/Server Verbindung aufbauen willst (client bzw. server Eintarg in conf-File) mußt du auch Zertifikate angeben.
Du versuchst eine point2point Verbindung über einen statischen Schlüssel, dann darfst Du server bzw. client nicht in deiner config verwenden.

Beispiel für server-conf mit statischem Schlüssel:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
port 1194 # ggf ändern
secret /var/tmp/secret.key # darf nicht geändert werden
tun-mtu 1500
fragment 1500
float
keepalive 10 60
verb 4
mssfix
daemon
route 192.168.179.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

Beispiel für client:

ifconfig 192.168.200.1 192.168.200.2
remote xxx.dyndns.org # (Internet-)Adresse der Fritz!Box eintragen
secret /var/tmp/secret.key # Pfad zur 'secret.key' angeben ('\' muss als '\\' geschrieben werden!)
keepalive 10 60
dev tun
dev-node /dev/misc/net/tun
port 1194 # ggf ändern
resolv-retry infinite
tun-mtu 1500
fragment 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.178.0 255.255.255.0
push "route 192.168.179.0 255.255.255.0"

Probiere es mal!

interhubi

 

[BuchIT]

Hi,

auf der Client Seite scheint es zu klappen.
Das rattert jede Menge Info im Telnet Fenster runter.
auf der Server Seite "sagt" openvpn nach dem starten allerding nichts.

Keine Ausgabe via telnet.
und die Verbindung kommt immer noch nicht zu stande.

Edit:
Firewall muss ich doch auch was tun oder ?

 

[interhubi]

Hi,

auf der Client Seite scheint es zu klappen.
Das rattert jede Menge Info im Telnet Fenster runter.
auf der Server Seite "sagt" openvpn nach dem starten allerding nichts.

Keine Ausgabe via telnet.
und die Verbindung kommt immer noch nicht zu stande.

Edit:
Firewall muss ich doch auch was tun oder ?

Kannst Du mal den deamon Befehl in der server.conf auskommentieren.

Zur Firewall: Du mußt bei beiden FB's die Ports aus dem inet auf die Box weiterleiten. siehe http://www.ip-phone-forum.de/showpost.php?p=420465&postcount=60
Am einfachsten geht es, wenn du im WEB-Interface der FB die Weiterleitung einträgst aber nicht aktivierst (verhindert die FB). Dann kannst Du in der ar7.cfg die Stelle einfach einkommentieren (Kommentierung herausnehmen).

 

[BuchIT]

Kannst Du mal den deamon Befehl in der server.conf auskommentieren.

ok, es tut sich was.

Aber eine Verbindung gibts immer noch nicht.
Firewall ?

 

[fws]

hallo,

hast du den port 1194 in der ar7.cfg freigegeben?




mfg fritz

 

[interhubi]

ok, es tut sich was.

Aber eine Verbindung gibts immer noch nicht.
Firewall ?

Du mußt entgegen dem, was ich vorher sagte, natürlich nur den Port auf der Server-Seite weiterleiten, der Client baut ja die Verbindung auf und ausgehende Verbindungen werden ja nicht von der FB-FW geblockt!

Gruß
Interhubi

 

[BuchIT]

Hi,

Port 1194 UDP freigeben.
Leider keine Veränderung.
Ich kann keine IP des anderen Netzes anpingen.

 

[fws]

hallo,

kann das sein das du tcp freigeben musst?

sieh mal hier:
http://www.ip-phone-forum.de/showpost.php?p=527222&postcount=179




mfg fritz

 

[interhubi]

Hi,

Port 1194 UDP freigeben.
Leider keine Veränderung.
Ich kann keine IP des anderen Netzes anpingen.

Laufen den beide openvpn-exec?

Geben die den etwas aus?

Wenn Du die "client"-Seite startest, siehst Du dann etwas auf der server-Seite?

Ich nehme an, daß in beiden openvpn-conf's "daemon" auskommentiert ist und Du die Programme aus der telnet-session gestartet hast!

Gruß
interhubi

 

[BuchIT]

Nochmal hi,

da sich die configs geändert haben hier der aktuelle Stand:

Server:

dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
secret /var/tmp/secret.key
proto tcp-server
port 1194
tun-mtu 1500
#fragment 1500
float
keepalive 10 60
verb 4
mssfix
#daemon
route 192.168.179.0 255.255.255.0
push "route 192.168.179.0 255.255.255.0"

Client:

ifconfig 192.168.200.1 192.168.200.2
remote xxx.dyndns.org
secret /var/tmp/secret.key 1
keepalive 10 60
dev tun
dev-node /dev/misc/net/tun
proto tcp-client
port 1194
resolv-retry infinite
tun-mtu 1500
#fragment 1500
mssfix
persist-tun
persist-key
verb 4
route 192.168.178.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

 

[BuchIT]

ok, es funzt

folgender Fehler:

Client:
secret /var/tmp/secret.key 1
die 1 hinten war zuviel !!

Letzte Frage, funzt das auch alles mit der "alten/ersten" FRITZ!Box Fon WLAN ?


Dafür gibts heute abend ne Schritt Anleitung von mir fürs Forum !!

Danke an alle Helfer !!

 

[interhubi]

Glückwunsch!

Ich habe einen Tunnel zwischen eine FB Fon WLAN 7050 und einer FB Fon.
Die FB Fon sollte identisch sein zur FB Fon WLAN, nur eben ohne WLAN.

Du kannst ja mal Deine Erfahrungen posten!
Viele Grüße und viel Spaß beim Tunneln!

Interhubi

 

[BuchIT]

Danke nochmals für die Infos.

Um meine "Traum Konfiguration" zu vervollständigen hier ein paar abschließende Fragen:

• Kann auf der Client Box gleichzeitig ein Server laufen?
  Auf dem gleichen oder einem anderen Port ?
• Wie könnte ich die Netzwerke "Home" und "HomeOffice mit VPN" trennen?
  z.B. nur IP 192.168.179.2-100 hat zugriff über VPN auf 192.168.178.x
• Wie viele Clientverbindungen kann der OpenVPN Server managen mit meiner Konfiguration, oder müsste man dafür ändern, und was ?
• Wie müsste eine Config für einen OpenVPN Windows Client aussehen ?

So, viel Stoff für ein bißchen VPN
Ich hoffe ihr könnt helfen.

Gruß Mike