[Gelöst] Open VPN -Brücke -tap, kleines Problem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
habe den DHCP Range mal auserhalt des FritzboxDHCP Range gewählt

Also 192.168.169.240-250

Vielen Dank mit den Tipp mit Manuell :)

Edit, es läuft oO, Super :) Internet geht komplett über das VPN und alle Geräte sind auch erreichbar :)

brctl, wie weit spielt das jetzt dabei eine Rolle, soll ich das Tap Interface raushauen aus der ar7.cfg?
 
Zuletzt bearbeitet:
Wenn es in der ar7.cfg drin ist, macht der AVM-Dienst "multid" das mit der Brücke. Dann braucht man kein brctl (und der Haken in der GUI ist wirkungslos).
 
was genau bewirkt der Befehl brctl, den habe ich ja, wie du meintest, mal ausgeführt.

Sollte ja, nun alles nach einen Reboot funktionieren.

Dann läuft zumindest der Server schon, und mein Handy verbindet sich auch.

Habe zum Verständnis noch eine Frage.

Wenn ich jetzt OpenVpn als Client auf einer anderen Fritzbox laufen lasse, bekommt diese Fritzbox dann ja eine IP aus meinen eingestellten IP Pool.

Demzufolge kann der PC der an der 2ten Box hängt, meine Freigaben sehen. (soll ja auch so sein)

Kann ich aber die Freigaben, von Rechnern die an der 2ten Box hängen, auch sehen?
Theoretisch ist dies ja durch die Brücke ja möglich.

Aber mit welcher IP ist dann der Rechner an der 2ten Box aufrufbar, rein theoretisch, mit der IP, die er immer hat.

Oder habe ich einen Denkfehler?

Vielen Dank für deine ausdauernde Mühe :)


Edit. Habe das tap interface aus der ar7 gelöscht, und Brücke im Lan aktiviert in der Openvpn Config aktiv gemacht
 
Zuletzt bearbeitet:
devildevil3 schrieb:
was genau bewirkt der Befehl brctl, den habe ich ja, wie du meintest, mal ausgeführt.
Zum Vergrößern anklicken....
"brctl" ist ein Programm um bridge-interfaces zu erstellen, löschen und zu modifizieren. Alle möglichen Aufrufe zeigt es dir an, wenn es ohne Parameter aufgerufen wird.

AVM macht die Einstellungen dieser Interfaces (auf der FB z.B. das Interface "lan") mittels ihres "universal-Daemons" multid. Der wird (unter anderem( über die Einstellungen in der ar7.cfg gesteuert, wo du das tap0 interface ja eingetragen hast. Damit ist die Benutzung von brctl überflüssig (bzw. unmöglich), weil sich multid "darum kümmert".

devildevil3 schrieb:
Wenn ich jetzt OpenVpn als Client auf einer anderen Fritzbox laufen lasse, bekommt diese Fritzbox dann ja eine IP aus meinen eingestellten IP Pool.
Zum Vergrößern anklicken....
Ja, aber "nur" auf dem VPN-Interface!
devildevil3 schrieb:
Demzufolge kann der PC der an der 2ten Box hängt, meine Freigaben sehen. (soll ja auch so sein)
Zum Vergrößern anklicken....
Nein, die Freigaben kann (siehe oben) nur das per VPN "angeschlossene Gerät", hier dann die "Client-FB" sehen (auf ihrem VPN-Interface). Der Client ist "virtuell" in dem Netz des Servers, nicht Geräte die am Client angeschlossen sind!
Gleiches gilt für die "Rückrichtung": Im Server-LAN kann nur der Client und seine Freigaben gesehen werden, nicht das, was "dahinter" ist.

(Immer von der "tollen" Microsoft-Idee ausgehend, dass man Freigaben automatisch mittels Broadcast bekannt gibt bzw. findet).

Ich glaube nicht, dass du dir wirklich die Mühe machen willst, aus reiner bequemlichkeit zwei Netze zu verbiegen und per Bridging zu verbinden, nur um für Freigaben nicht eine IP eintippen zu müssen...
Deshalb kam ja zu Beginn die Frage nach Sinn und Verständnis des Bridgings.

devildevil3 schrieb:
Edit. Nach einen reboot geht es nicht. Ich schätze hat was mit den gebrückten tap0 Device zu tun, ich entferne den eintrag in der ar7.cfg, dann sollte es ja gehen?!
Zum Vergrößern anklicken....
Wenn die Netze identisch sind, sollte es gehen. Ich ging davon aus, das 192.168.169.x ein versehen war?
 
Ohne tiefergehende Netzwerkkenntnisse und vor allem Eingriffe kannst du nicht zwei (oder sogar noch mehr) Netze per Bridging verbinden. Das fängt mit der Frage des DHCPs an (die Broadcast-Anfrage in deinem Netz könnte der DHCP einer Client-Box beantworten, auch wenn sich das das meist durch die Laufzeit erledigt), geht über die Frage, wo geht wer ins Internet bis zu wie ist über "X Netze hinweg" sichergestellt, dass überall ganz sicher nur verschiedene IPs genutzt werden.

Freigaben lassen sich prima per TCP (NetBIOS over TCP/IP) machen. Und wenn es der Name statt der IP sein soll, helfen Einträge in der lmhosts Datei.

Für die "Spiele-Frage" könnten sich dann immer noch alle PCs, die in einem "LAN" sein müssen, direkt als Client mit einem OpenVPNServer verbinden, der Bridging macht.

Bridging ist und bleibt aber halt eine Krücke, damit rennen geht nicht so toll.
 
Jep, so lasse ich es.

Jeder "Spieler" soll soch das Client Programm laden und fertig. Sehen uns dann uneingeschränkt im Netzwerk, gerade getestet :)

Eine Frage bleibt noch, dann ist das erledigt.

Kann ich sagen Client1-Routet Traffic über mein Internet, Client2 dagegen nicht?

Oder ist das ein fester Wert, alle Clients routen traffic durch, oder garkeiner?
 
Du kannst das theoretisch in der Server-Config weglassen und nur bei dem Client, der es haben soll, in dessen Config eintragen ("redirect-gateway").
 
Super sache :)

Funktioniert super, Bei Freund im Netzwerk tauchen alle meine Netzwerkgeräte auf.
Ich sehe nur seinen PC in meinen Netzwerk, aber das ist absolut richtig so :)

Ich bedanke mich vielmals
 
Ich habe eine aehnliche Config wie Du und es scheint an sich auch zu funktionieren. Aber im Client kommt die Warning:
WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.2/255.255.255.255]

(Habe auf der Fritzbox 192.168.178.x als LAN Netz)
Die Fehlermeldung muesstest du doch auch haben bzw wie bekomm ich die weg?
 
Ich habe die Konfiguration gemacht wie unter http://freetz.org/wiki/packages/openvpn beschrieben, Kapitel unter Routing vs. Bridging - also letzte Beschreibung und da passiert genau diese Fehlermeldung.

Config Lan: PC's im LAN: 192.168.178.5 - 192.168.178.199 - Fritzbox: 192.168.178.1
Config VPN: Client: 192.168.178.200 - 192.168.178.250 - tap0: 192.168.178.2 bridged to eth0: 192.168.178.1 on Fritzbox, also Haken bei "LAN Bruecke" und "Jedes Paket des Client umleiten"
Config entfernter Rechner: 192.168.2.x
Mask immer 255.255.255.0

tap0 kann 192.168.178.1 oder 192.168.178.2 sein, das ist egal, der Fehler ist der gleiche.

Wo ueberschneidet sich da was? Die Config entspricht in etwa der vorigen Beschreibung in diesem Thread, nur etwas andere IP's
Welche IP's muessen anders sein?
Das Lan und das Internet sollen natuerlich vom entfernten Rechner ueber die Fritzbox erreichbar sein.
 
Es geht doch um den Client, der diese Meldung ausgibt, oder?!? Der ist im LAN 192.168.178.0 wenn er diese Meldung ausgibt.
Die ist vollkommen korrekt, denn ohne Bridging sollten/dürfen zwei Interfaces nicht im selben Netz sein.
 
Genau der Client gibt diese Meldung. Welche 2 Interface meinst du (tap0 und eth0 im lokalen Lan sind gebrueckt)?

Ich habe uebrigens folgendes probiert:
Config VPN: Client: 192.168.200.x - tap0 192.168.200.1 (keine Lan Brueck zwischen tap0 und eth0)

Und da kommt die gleiche Fehlermeldung.
 
Der Client, also der PC, mit dem du dich verbindest, ist in einem LAN, das genauso konfiguriert ist, wie das Netz deiner Server-Fritzbox (192.168.178.x).
Also "beschwert" er sich, dass eine IP aus "seinem LAN" auf einmal als IP des VPN auftaucht, nämlich die IP des VPN-Interfaces der FB (tap0), der hast du laut Konfig oben 192.168.178.1 (oder .2) gegeben.

Nimmst du auf der Fritzbox 192.168.200.1 als lokale IP des Servers dürfte das nicht passieren.
 
Ok, verstehe, auch wenn meine config der Beschreibung von http://freetz.org/wiki/packages/openvpn entspricht. Habe jetzt umgestellt:

Config Lan: PC's im LAN: 192.168.178.5 - 192.168.178.199 - Fritzbox: 192.168.178.1
Config VPN: Client: 192.168.200.10 - 192.168.200.250 - tap0: 192.168.200.1
Config entfernter Rechner: 192.168.2.x
Mask immer 255.255.255.0

tap0 ist nicht gebridged.

Fehler bleibt:
Fri Aug 17 14:22:03 2012 WARNING: potential route subnet conflict between local LAN [192.168.200.0/255.255.255.0] and remote VPN [192.168.200.1/255.255.255.255]

Kann es sein, dass der Client sich immer beschwaert, wenn "192.168.200.0/255.255.255.0" gepushed wird? Schliesslich kann er (der Client!!) nicht ausschliessen, dass die 192.168.200.1 im client Lan ist und auf der Seite der Fritzbox? Dass der DHCP Server das verhindert, weiss der Client an sich nicht.

Ist nur so eine Vermutung, ich geb mal die server.conf (nur die Zeilen, die mit Routing zu tuen haben):
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
route 192.168.200.0 255.255.255.0 192.168.200.1
max-clients 5
mode server
ifconfig-pool 192.168.200.10 192.168.200.250
push "route 192.168.200.1"
route 192.168.200.0 255.255.255.0
push "dhcp-option DNS 192.168.200.1"
push "redirect-gateway"

Wird uebrigens von der freetz GUI erzeugt.
 
mb1234 schrieb:
Ok, verstehe, auch wenn meine config der Beschreibung von http://freetz.org/wiki/packages/openvpn entspricht.
Zum Vergrößern anklicken....
Die Konfig da ist schon o.k.

Es ist höchstens "unschön", dass nochmal die Host-Route für den Server geschickt wird, obwohl die für das ganze Netz schon vorhanden ist. Das könnte auch eine Ursache für diese Meldung sein. Es fehlt halt das komplette Log und somit alles an Infos "um den Fehler rum"...

Vielleicht hatte ich das auch zuerst falsch verstanden. Also, ist der Client-PC in einem LAN ungleich 192.168.178.x?

Dann kann man diese Warnung getrost ignorieren, denn sie könnte durch die oben genannte zweite Route erzeugt werden...
 
Genau der Client-PC ist in einem anderen Netz: 192.168.2.x

Welche Zeile ist die "Host-Route für den Server" - meinst Du: push "route 192.168.200.1"?
 
Genau die. Durch die Konfig des TAP beim Client mit einer IP aus 192.168.200.0/24 ist die Hostroute eigentlich überflüssig.

Falls du übrigens wieder zurück zur Ausgang-Konfiguration gehst: Du kannst dann auch, anders als auf dem Screenshot im Wiki, bei TAP das "lokale Netz" leer lassen, sofern du 192.168.178.x nimmst und das bridging aktivierst.
Die Route ist in diesem Fall bereits durch das VPN vorgegeben und muss nicht nochmal geschickt werden.
 
Danke, das wars, habe - push "route 192.168.200.1" - auskommentiert und openvpn in der shell gestartet. Die Warning ist weg und alles funktioniert ohne Warning. Nur geht das nicht ueber die GUI von Freetz, die traegt immer die push route ein. Ist das ein Bug (eine Loesung ueber die GUI scheint es nicht zu geben)?

Habe in Der GUI die Felder "Lokale IP-Adresse", Netmask und "DHCP-Range..." ausgefuellt, die anderen Routing VPN Felder (Lokales/ Entferntes Netz ...) habe ich leer gelassen.

Bez der Ausgangskonfiguration, stimme ich zu, aber auch hier das gleiche, wenn "lokales Netz" weggelassen wird und Bridging aktiv, ist die Warning nur 1x und nicht 2x. Erst das manuelle Entfernen der Push Route loest die letzte Warning auf.

Ich habe uebrigens freetz-1.2_rc2.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 368 (Mitglieder: 2, Gäste: 366)

Neueste Beiträge

Statistik des Forums

Themen
246,782
Beiträge
2,257,378
Mitglieder
374,826
Neuestes Mitglied
teresachavez5000
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück