Zwei Netze über tun verbinden
Hallo allerseits,
zunächst einmal möchte ich mich für Eure Mühe bedanken. Ich weis, dass das nicht selbstverständlich ist!
Ich möchte zunächst zwei Netze mit tun verbinden. In beiden Netzen arbeitet eine FBF 7170 mit 29.04.33ds26-15. Die Zertifikate und Parameter sind erstellt, der Eintrag in der ar7 des Servers gemacht und der Tunnel wird aufgebaut. (So weit wäre ich ohne diesen Thread nie gekommen
)
Von der Clientbox aus kann ich sämtliche IPs der Serverseite pingen (also die Serverbox mit beiden IPs und alle PCs im LAN.
Jetzt habe ich allerdings ein (ich vermute) Routing-Problem:
von der Serverbox aus kann ich lediglich die VPN IP der Clientbox pingen.
Ich komme nicht ins Client-LAN.
Mein Aufbau:
Servernetz: 192.168.201.0/24 , Serverbox: 192.168.201.1
Clientnetz: 192.168.203.0/24 , Serverbox: 192.168.203.1
In beiden Netzen diverse Clients.
VPN Netz: 10.0.0.0/24, Server 10.0.0.1
Server config:
Code:
/var/log $ cat /mod/etc/openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
mode server
tls-server
dh /tmp/flash/dh.pem
ifconfig-pool 10.0.0.2 10.0.0.10
ifconfig 10.0.0.1 10.0.0.2
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "route 192.168.201.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
max-clients 5
tun-mtu 1500
mssfix
daemon
verb 3
cipher AES-128-CBC
route 192.168.203.0 255.255.255.0
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
/var/log $
Server route:
Code:
/var/log $ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
10.0.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
10.0.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.201.0 * 255.255.255.0 U 0 0 0 lan
192.168.203.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl
/var/log $
Client config:
Code:
/var/log $ cat /mod/etc/openvpn-lzo.conf
# OpenVPN 2.1 Config
proto udp
port 1194
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-client
ns-cert-type server
pull
remote mdesaster.dyndns.org
nobind
ifconfig 10.0.0.2 10.0.0.1
tun-mtu 1500
mssfix
daemon
verb 3
cipher AES-128-CBC
route 192.168.201.0 255.255.255.0
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
/var/log $
Client route:
Code:
/var/log $ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
10.0.0.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.201.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.203.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl
/var/log $
Da für mich alles gut aussieht (ich starre inzwischen allerdings schon etwas zu lange drauf) wollte ich mal nach dem 4-Augen Prinzip vorgehen.
Also:
Hab ich mich vertippt, was falsch verstanden, oder bin ich einfach zu dämlich?
Eine weitere Frage wäre, was ich ändern muss, um noch ein zweites Client-Netz (192.168.202.0/24) einzubinden.
jede Hilfe willkommen.
Danke
wengi
EDIT:
Wenn ich meine Server conf mit anderen vergleiche fällt mir auf, dass der Eintrag ifconfig bei mit zwei IPs beinhaltet, bei anderen aber eine subnetmask hat. Ist das der WebIF Eintrag "Entfernter Endpunkt (nur für TUN)"?