Freetz openVPN wohin mit den Certs als Client ?

[stinkstiefel]

Steht doch alles schon da, aber das hier nicht gelesen wird und keine detaillierte Problembeschreibungen geliefert werden ist ja nix neues.

Wenn du das ganze nicht über Routing machen willst, könntest du natürlich auch das TAP-Interface ins LAN brücken. Dann müssten die PCs halt entsprechend IPs aus dem 10.1.1.x Netz (zusätzlich) bekommen.

Das einzige was jetzt zu damals anders ist, ist der Adressbereich des VPN-Netzes.

 

[MaxMuster]

[...] könntest du natürlich auch das TAP-Interface ins LAN brücken. Dann müssten die PCs halt entsprechend IPs aus dem 10.1.1.x Netz (zusätzlich) bekommen. Auch hier gilt natürlich: Deine PCs sind dann im "gleichen Netz" wie die anderen VPN-PCs und können von denen erreicht werden...

Siehe meinen vorangegangenen Beitrag. Hast du das so gemacht?

 

[stinkstiefel]

[OT]Ich glaub ich muss mal auf Holz klopfen. [/OT]

 

[MaxMuster]

[OT2]... jaja, zwei (zumindest lt. meinem Spiegel einer ;-)) Doofe...[/OT2]

 

[Apophis]

Habe ich doch schon geschreiben.

Ja ich habe den PC´s eine IP im VPN Netz gegeben und habe alles versucht. Siehe auch mein Bild im Anhang eines Post.

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
vi /var/tmp/ar7.cfg


brinterfaces {
name = "lan";
dhcp = no;
ipaddr = 192.168.178.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
interfaces = "eth0", "usbrndis", "tiwlan0", "wdsup0",
"wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3", "tap0";
dhcpenabled = yes;
dhcpstart = 192.168.178.20;
dhcpend = 192.168.178.100;


Die Brücke gesetzt usw. aber nix geht. Von der FB aus geht alles 1A.
Ich habe das jetzt mit meinem Debian PC gemacht und da läuft es mit iptables. Auf Dauer sind mir aber die Stromkosten zu hoch.

 

[MaxMuster]

Vielleicht verstehe ich es ja nur nicht, aber in deinem Bild (Post #23, vermute ich) sehe ich nur 192.168.21.3 und .4 für die PC's und nicht 10.1.1.x.
Wenn du 10.1.1.x auf den PC's hast, kannst du dann die Box 10.1.1.20 per Ping erreichen und bekommst eine passende arp-Anzeige mit "arp -a"? Was sagt "arp -a" nach einem ping auf 10.1.1.21 und 10.1.1.1?

Jörg

 

[Kalle322]

Hallo Community,

arbeite zurzeit auch an OpenVPN und habe das selbe Problem. Habe das komplette Thread durch gelesen. Leider habe ich nicht sher gute Linuxkenntnisse bzw. LAN Kenntnisse.

Also ich habe ein TAP0 auf der FB. Kann im Telnet der Fritzbox andere Clienten anpingen. Am Server kann ich auch nichts einstellen. Ich denk, mir fehlt nur das bridgen von der VPN IP auf die Lan Ip...

wenn z.b. die VPN Ip des Server 15.168.0.1 ist, meine Fritzbox hat im VPN die IP 15.168.0.119. Im normalen hat die FB 192.168.0.1 und mein PC, der ins VPN soll, 192.168.0.104.

Muss ich das nun auf der FB einstellen oder muss ich etwas auf dem PC einstellen? Der PC, der ins VPN soll, nutzt WindowsXP SP3, falls das hilft...

Über euere Hilfe wär ich sehr dankbar...

Schöner Gruß

Kalle

 

[MaxMuster]

Ist denn die Gegenstelle auch ein gebrigdes Interface (tap)?
Die "Brücke" bringt dir nichts für den PC, der ja in einem völlig anderen IP-Netz ist.
Dir fehlt es vermutlich mehr am Routing, das aber auf der Server-Seite erfolgen müsste, damit alle VPN-Teilnehmer "wissen", dass 192.168.0.x "bei dir ist", also da, wo der Client 15.168.0.119 ist, um in deinem Beispiel zu bleiben...
Ohne Möglichkeit, das am Server zu ändern, sehe ich kaum Möglichkeiten, höchstens bei "einseitigen" Zugriffen (nur deine PC's müssen die anderen VPN-Clients erreichen), das wäre mit Adressübersetzung (NAT) machbar, wofür du dann aber wieder iptables auf der Box bräuchtest...

Jörg

 

[Kalle322]

Okay dann hab ich einen Denkfehler... Dachte das es vielleicht möglich wäre:

Mein PC <---- interne LAN Verbindung ----> Fritzbox <---- VPN Verbindung ----> VPN Server <---- VPN Verbindung ----> VPN Client

Das ich nur auf die Fritzbox zugreifen muss und dann einfach ins VPN Netzwerk zugreifen kann...

 

[MaxMuster]

Nein, ganz so ist das nicht. Erstmal ist immer nur der Client mit dem Server verbunden und kann sich mit dem austauschen und ggf. mit anderen Clients.
Zwar kann man, wenn es ein TAP-Interface ist, das Netz des VPN mit dem LAN verbinden, das hilft dir aber nur, wenn du auch gleiche IP-Adressen im LAN und im VPN hast.

Das ist dann fast ebenso wie im LAN: Wenn du zwei PCs mit einem Switch verbindest, sie aber in verschiedene IP-Netze packst, können die per IP nicht kommunizieren.

Jörg

 

[Kalle322]

Also es ist ein Tap.. habe auch ein Tap0 auf der Fritzbox...

Also ich kann doch nicht die gleiche IP auf dem PC verwenden wie auf der Fritzbox, also die 15.168.1.119...

Und eine frei erfundene, z.B. 15.168.1.125 geht doch auch nicht, da diese doch vom Server vergeben werden auf die jeweilige zertifikaten oder?

Also steh etwas aufm Schlauch... würde es aber gerne lernen...

 

[MaxMuster]

Also, es ist natürlich gut, ehe man Netze verbinden will, die Grundsätze zu kennen. Ein IP Tutorial kann das hier nicht werden, aber da findest du sicher auch ein paar gute, vermutlich bessere Seiten zu im Netz ;-).

Ganz kurzer Abriss, nicht vollständig (und oft verkürzt):
Alle Geräte sprechen sich über Adressen an, die unterschiedliche Gültigkeiten haben: Physikalisch angeschlossene Geräte verwenden für jede Kommunikation Hardware-Adressen (Stichwort "MAC-Adresse"). Für die "logische Verbindung", mit "Routing" auch über diese Grenzen hinweg, sorgen dann z.B. IP-Adressen.
Die Idee: Alle Geräte in einem IP-Netz können miteinander reden, dafür gibt es Mechanismen, wie die Geräte gegenseitig die Hardware-Adresse zu einer IP-Adresse "finden". Voraussetzung ist aber, dass sie in einem gemeinsamen IP Netz und einem physikalischen Netz sind.

Nun gibt es Szenarien, in denen man Geräte direkt miteinander "reden" lassen möchte, obwohl sie nicht in den gleichen physikalischen Netz sind. Bekanntestes Beispiel dürfte "LAN<->WLAN" sein, bei dem LAN- und WLAN-Komponenten "in einem Netz" sein sollen.
Für den Einsatz zwischen verschiedenen physikalischen Netzen gibt es deshalb die Möglichkeit, sie zu "verbinden", zu brücken, so dass sie sich wie ein verbundenes Netz verhalten. Die Brücke sorgt dann dafür, dass die vorher genannten Mechanismen (wie Hardware-Adresse zu einer IP finden) dann trotzdem funktionieren.

Sowas kann der Brücken-Adapter im OpenVPN auch machen. So wird dein Client dann (passende Config vorausgesetzt) in der Lage sein, die Adresse des Servers oder eines anderen Clients herauszubekommen, obwohl die nicht direkt verbunden sind.

Der häufigste Anwendungsfall von Bridging im VPN dürfte deshalb auch der sein, dass der Server sein (Heim-)LAN brückt und der Client, wenn er verbunden ist, dann fast die gleichen Möglichkeiten hat, wie wenn er direkt in diesem LAN wäre.

Das ganze funktioniert aber eben nur in einem IP-Netz. Nur der Client ist daran angeschlossen. Der Client kann dann zwar den VPN-Adapter auch an sein LAN brücken, die Einschränkungen bezüglich IP bleiben aber bestehen.

Der mit Abstand einfachste Fall ist also: Der PC baut das VPN als Client selbst auf.
Ansonsten ist es ohne Änderungen auf der Serverseite fast unmöglich (die Ausnahme mit NAT habe ich oben angeführt).

Auch wenn die Computertechnik viel kann, es gibt auch da Dinge, die "unmöglich" sind ;-).


Jörg

 

[Alex-2.5]

Hallo,

ich hab eine Frage und bevor ich einen neuen Thread erstelle klink ich mich hier mal ein

folgendes hab ich gemacht, FB 7240 mit freetz und openvpn als client.
Ich habe einen DLink-Router. An diesem ist ein linux-endgerät angeschlossen, was über vpn nach draussen telefonieren soll, und die FB.

Ich gehe mit dem linux-endgerät über die FB auf den VPN-Server. Funktioniert.

Aber wenn ich die FB alleine als Router benutzen möchte ohne den DLink dann schmiert mir die FB jedesmal wenn ich "brctl addif lan tap0" ausführe ab.
Sie startet dann neu.

Hier mal meine config:

--script-security 2
client
dev tap
proto udp
remote XXX.dyndns.org PORT
nobind
persist-key
persist-tun
## Hier bitte Ihren Key und crt Namen eintragen. ############
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
#############################################################
cipher AES-256-CBC
#route xxx.xxx.xxx.xxx 255.255.0.0
#route-gateway xxx.xxx.xxx.xxx
#dhcp-option DNS xxx.xxx.xxx.xxx
redirect-gateway
auth SHA1
ns-cert-type server
verb 0
mute 20

Hat jemand zufällig eine Ahnung was das sein kann?

Danke schonmal

 

[MaxMuster]

geht es denn davor, bevor du die Brücke baust? Kommst du dann vom OpenPN-Client (also der Box) auf den Server? Gibt es brctl?
Vielleicht hängt es mit den schon berichteten Problemen neuerer Kernel mit OpenVPN im Bridging zusammen (siehe hier)?

Jörg

 

[Alex-2.5]

danke für den link werde ich mir gleich durchlesen.

also ich kann ja das ganze ausführen wenn ich die fb an meinen eigentlichen router hänge. dann geht openvpn und ich kann brctl ausführen und der eigentliche client kann raus.

wenn ich aber die fb ans kabelmodem hänge kann ich das openvpn ausführen.
ich bekomme auch meine tap0
erst wenn ich den befehlt brctl addif lan tap0 ausführe macht sie einen neustart.
ich rufe das alles im telnet auf und nicht automatisch über das freetz webif.

wusste nichts von dem bug thread da les ich mich gleich mal ein. danke