Freetz openVPN wohin mit den Certs als Client ?

[Apophis]

So ich bastel jetzt echt so lange rum und bekomme das einfach nicht hin.

Also VPN von der Fritzbox rennt. So und wenn ich eine VPN Verbindung von meinem PC aus in VPN Netz aufbaue rennt alles 1A.
Nur wenn ich nun die Fritzbox mit der VPN Verbinde, kann ich zwar von der Fritzbox das VPN Netzerreichen, aber nicht von einem PC

Mein Netz

1 echter Linux Server mit 3 Clients über VPN (Client to Client über TAP läuft auf dem PC 1A)

So wenn ich nun auf der Fritzbox mein OVPN starte, macht er alles und von der Fritzbox ist es auch erreichbar. Aber nicht von meinen PC´s hinter der Fritzbox.

Client 2 (VPN Netz IP 10.1.1.21 <>
Client 1 (VPN Netz IP 10.1.1.20 <> Server VPN IP 10.1.1.1 <> Client 2 > Fritzbox OVPN Netz10.1.1.x (Mein LAN 192.168.21.X Netz mit 3 Pc´s )

Ich möchte nun, dass alle 3 Pc´s aus dem LAn Netz 192.168.21.X in das VPN Netz 10.1.1.x kommen.

Wie muss ich die Routings einstellen

Oder kann ich nicht einfach eine Brücke in der Fritzbox setzen, dass ich dann so auch ins VPN Netz komme ?

 

[MaxMuster]

Die Brücke hast du doch jetzt schon in der Konfig auf dem Server drin, oder?

Also, ich versuche es noch einmal zu verstehen und erklären:
Dass du vom PC alles erreichen kannst ist klar, denn der PC ist ja auch direkt mit dem Server verbunden. Dafür ist keinerlei weitere Einstellung nötig, denn der Client ist ja im Servernetz mit seiner "bekannten" VPN-IP 10.1.1.x "unterwegs".
Genauso ist es mit der Fritzbox als Client: Die verhält sich genauso, wie der PC, kann deshalb auch alles erreichen...

Willst du aber ein Netz "hinter einem Client" erreichen, muss dieses Netz auch bekannt sein! Zum einen beim VPN-Server, aber auch bei allen Clients.
Das einfachste dürfte sein, wenn du das Routing über den Server laufen lässt. Dann gehört dort in die Config:

route 192.168.21.0 255.255.255.0 10.1.1.<VPN-IP der Box>

Damit sollte der Server erstmal erreichbar sein, auch aus dem Netz hinter der Box. Je nach deiner Server Config, die ich nicht kenne, musst du evtl auch noch das Routing bei den Clients einrichten, dabei müsstest du um keine Routingprobleme auf der Box zu bekommen mit "client-config-dir" arbeiten und bei allen anderen Clients eintragen

push "route 192.168.21.0 255.255.255.0 10.1.1.<VPN-IP der Box>"


Jörg

 

[Apophis]

So das ist mal mein Netz.

Zur Erklärung.
Ich möchte nicht in das Lan Netz der anderen VPN Clients 2 und 3

Ich kann von meiner FB7170 alle erreichen und auch alles machen.
Aber von meinem Lan das hinter meiner FB 7170 ist nicht. Alle anderen sollen auch nicht in mein Netz kommen. Ich möchte nur von meinem Lan Netz ins VPN Netz kommen können. Ich dachet mir das so.
Ich mache eine Brücke im Router von meinem Lan auf das VPN Netz und kann dann mit meinen Lan PC´s ins VPN Netz. Aber keiner der User soll in mein Lan oder ich in den Ihr Lan

 

[MaxMuster]

Ja, so hatte ich das ja auch verstanden und beschrieben. Was ist denn an meinem Vorschlag nicht o.k.?

Du kannst nur ganz bedingt "Alle anderen sollen auch nicht in mein Netz kommen" umsetzen, denn prinzipiell sind die Zugriffe immer beidseitig: Damit du aus deinem LAN z.B. den "PC VPN Client2" erreichen kannst, muss der natürlich auch den Weg zurück in dein LAN kennen (und könnte dann auch von sich aus zugreifen)...

Wenn du das ganze nicht über Routing machen willst, könntest du natürlich auch das TAP-Interface ins LAN brücken. Dann müssten die PCs halt entsprechend IPs aus dem 10.1.1.x Netz (zusätzlich) bekommen. Auch hier gilt natürlich: Deine PCs sind dann im "gleichen Netz" wie die anderen VPN-PCs und können von denen erreicht werden...

Das Brücken kannst du entweder in der ar7.cfg vornehmen wie im Wiki beschrieben oder du nutzt dafür das Programm "brctl".


Jörg

 

[Apophis]

Hi,

also ich habe nun schon lange rum gefuchtelt und bekomme es nicht hin.

Am Server kann ich nichts verändern.


Also ich habe einen Server von Dort bekomme ich eine IP.

Nun habe ich hinter meiner FB 3 PC´s und ich möchte nun, dass diese auch die IP´s des VPn Netz erreichen können ?

Wie kann ich das machen ? Denn die routings am Server kann ich nicht ändern.

Kann ich ich denn Z.B. mit iptables nicht eine Port vom VPN Netz zu einer bestimmten IP routen? Damit ein PC eine Bestimme IP erreichen kann ?
Oder wie mache ich es, dass alle PC´s hinter meine Fb nun auch das VPN Netz erreichen können ?

Danke

 

[stinkstiefel]

Denn das Routing am Server kann ich nicht ändern.

Warum nicht? Dann ist dein Vorhaben von der Serverseite vermutlich überhaupt nicht gewünscht.

 

[Apophis]

Ne weil dann jedes (von 30 Usern) Netz mit rein müsste .

Ich möchte halt, dass jeder PC der hinter seinem router ist (der Router läuft als Client) dann in das VPN Netz mit rein kommt.

Am PC läuft das ja. Da komme ich in das VPN Netz und ins Lokale Netz warum sollte das nicht mit der FB auch laufen ? Da ist Linux drauf und das wird auch laufen.

Wer kann mir damit bitte helfen.

 

[stinkstiefel]

Bis jetzt war hier immer nur von deiner Fritz!Box die Rede und nicht von 30 Subnetzen. Eine mögliche Lösung von MaxMuster steht schon da.

Ich möchte nicht in das Lan Netz der anderen VPN Clients 2 und 3

Ne weil dann jedes (von 30 Usern) Netz mit rein müsste.

Ich habe nicht das Gefühl das du wirklich weisst was du möchtest und was du darfst! Setz dich mit dem Betreiber des VPN-Server in Verbindung und erarbeite eine Lösung. Bei den nötigen technischen Details ist man dir hier sicher gern behilflich.

 

[Apophis]

Wie ich schon sagte, kann ich auch mit meinem PC die VPN Leitung herstellen und über den PC dann das VPN Netz zu den anderen PC´s weiter leiten. Dazu muss nur die VPN gebrückt werden.
So das möchte ich in der FB machen. So das alle PC´s nach meiner FB auch das VPN Netz erreichen können.


Ich habe das Gefühl Du willst es nicht verstehen.
Ich möchte das gleiche wie mit meinem PC machen.

VPN <> FB als Client mit IP <> PC1
<> PC2
usw.

Kann man denn in der FB nicht sagen leite es in das Lan Netz rein. Wenn Iptables drin wäre wüsste ich es ja da ich mich mit Linux sehr gut auskenne.

 

[stinkstiefel]

Kann man denn in der FB nicht sagen leite es in das Lan Netz rein.

Oh ja, mit den richtigen Werkzeugen kann man auf der Box bestimmt viel rein-, raus-, um-, und weiterleiten sogar maskieren soll möglich sein.

 

[MaxMuster]

Es gibt hier schon einige Ansätze mit NAT per iptables, einfach mal nach suchen. Allerdings könntest du Probleme mit dem contrack Modul bekommen, was die Box manchmal zum Absturz bringt.

Ich hatte dich so verstanden, dass "alles lief", als dein PC die Verbindung aufgebaut hatte.
Wie sind denn dann die anderen PCs an den Server gekommen? Hast du das VPN-Netz ins LAN gebridged? Das sollte jetzt ganz genauso auch mit der Box als Client funktionieren.

Jörg

 

[stinkstiefel]

Hast du das VPN-Netz ins LAN gebridged?

Deinen Tipp hat er denke ich noch nicht umgesetzt.

 

[Apophis]

Ich wollte es ja gerne mit Iptables machen, weil sonst auch mein ganzes Lan Netz für alle anderen Clients im VPN Netz erreichbar wäre.

Ich wollte Z.b. MIt Iptables nur den Port sagen wir mal 200 -2010 ins Lan Netz leiten damit jeder PC in meinem Lan dann diese Ports erreichen kann. Z.B für ein Lan Computerspiel.

Ich würde es gerne mit Iptables machen denn da bin ich zu hause und kenne mich gut aus nur bestimmte Ports in ein anderes Netz zu leiten. Aber ich dachte immer die FB hat kein Iptables.

Ist das mit einer neueren Soft jetzt mit drin ?

Danke für die Hilfe

 

[MaxMuster]

Wir reden hier doch von Freetz?? Ein Blick ins Wiki hilft!

 

[Apophis]

Ja genau die. Ich dahcte aber immer da gibt es kein iptales. Ist das nicht so ?

Also ich wollte nun mal per telnet die openvpn.config direkt ohne das webinterface so einrichten wie ich das möchte. Wo finde ich denn die Datei?

Ich habe zwar die /tmp/flash/openvpn.diff aber da wird es ja nur exportiert.
Wie kann ich da meine eigene Routing exportieren ?

achja wie kann ich den openvpn über die console starten um dann auch mal die Felher zu sehen ?

denn so komme ich nicht weit

openvpn --config /mod/etc/openvpn.conf

Ich kenn mich sehr gut in echten Linuxumgebungen aus. Aber das hier ist alles andere als normal

Danke

 

[MaxMuster]

Aber das hier ist alles andere als normal

???

# im Freetz openvpn auf "manuell" setzen
# eigene Config erzeugen, z.B.  /var/tmp/flash/myopenvpn
cat > /var/tmp/flash/myopenvpn << 'EOF'
proto udp
...
EOF
# und dann speichern, (hier ist Freetz tatsächlich "etwas anders")
modsave
# openvpn starten 
openvpn /var/tmp/flash/myopenvpn

Routen lassen sich übrigens auch prima über die GUI setzen, ggf. mehrere, per ";" getrennt

... und zum Fehlersuchen ebenfalls nochmal der Hinweis aufs Wiki, wo ich mich zumindest bemüht habe auch das zu beschreiben, damit eben nicht jeder fragt :-(

Jörg

 

[Apophis]

Jo danke.

also ich habe mir einfach mal die neuste Version gebaut und habe alle Daten soweit eingetragen.

So wenn ich den VPN starte, dann kann ich von der FB das VPN Netz anpingen und alles machen. Ich habe nun auch die Brücke mal zu Testzwecken gesetzt.
Aber ich kann von meinem PC (der hinter dem Router ist) im Netz 192.168.1.1 nicht im 70.168.1.x pingen. Per Telnet von der FB kann ich alles erreichen und machen

Was mach ich nun falsch ?

 

[clarc]

Ahh wie geil ich habe einfach alles mal gelöscht und dann neu gemacht und schon rennt es

auch wenn der thread schon alt ist... ich hab das selbe problem - was verstehst du unter alles gelöscht ? freetz nochmahl runter und neu auf die box oder nur die einstellungen gelöscht und nochmahl neu rein ?

danke und gruß

 

[Apophis]

Ne ich habe die neuste (Freetz-1.1rc3 ) für mich fertig gemacht.

Die habe ich eingespielt und da ist schon der Punkt für Brücke auf das Lan setzten mit drin.
Aber wie gesagt ich kann alles von der FB aus erreichen tap0 ist da alle clients kann ich an pingen und alles rennt 1A

Nur wenn jetzt ein PC hinter meiner FB die Server erreichen will (anpinnen oder was auch immer) läuft es nicht.

Was muss ich machen, dass nun meine PC´s hinter der FB auch in das VPN Netz über die FB (die als client läuf ) rein kommen?

 

[Apophis]

so habe nun mit
cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg


brinterfaces {
name = "lan";
dhcp = no;
ipaddr = 192.168.178.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
interfaces = "eth0", "usbrndis", "tiwlan0", "wdsup0",
"wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3", "tap0";
dhcpenabled = yes;
dhcpstart = 192.168.178.20;
dhcpend = 192.168.178.100;


die Brücken selber gesetzt.
Aber auch jetzt kann ich aus meinem Lan die VPN IP´s nciht erreichen.