VPN-Server in Box integrieren

Hallo,

bin OpenVPN-Newbie und habe mich bereits durch diverse Anleitungen und Foren-Beiträge "gekämpft".

Habe mir ein pseudo_image auf the-construct erstellt und die Box geflasht. Funktioniert alles soweit. Auf the-construct steht, dass man die server.ovpn und client.ovpn anpassen muss.

Auch wenn, die Frage in diesem Thread schon gestellt und auch beantwortet worden ist. Leider habe ich immer noch nicht so recht verstanden, welche IP-Nummern ich wo genau angeben (ändern) muss. Könnte bitte jemand helfen - ich kapiere es einfach nicht.

Beispiel:

Fritzbox-IP: 192.168.178.1
PC1-IP: 192.168.178.30

PC2-IP (Client im externen Netz): 192.168.5.20

In der Vorlage von the-construct steht (auszugsweise) folgendes:

**********************************
server.ovpn:
ifconfig 10.0.0.2 10.0.0.1
...
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
***********************************

Wenn ich es richtig verstanden habe muss bei push, der IP-Bereich meines FritzBox-LAN stehen. Also:

push "route 192.168.178.0 255.255.255.0"

1) richtig?
2) Muss "route 10.0.0.0 255.255.255.0" so bleiben oder auch geändert werden?

***********************************
client.ovpn:
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
***********************************

3) Wie genau muss ich in der client.ovpn ändern oder kann die so bleiben?

Könnte bitte jemand anhand des obigen Beispiels helfen, wie genau ich die beiden Dateien ändern und welche IP's ich genau wo eintragen muss.

Vielen Dank im Voraus.
tarsia
 
Damit die Netze auf der "anderen Seite" erreicht werden können, müssen die Routen dafür gesetzt werden. Das kannst du entweder "manuell" auf der Client- und Server-Seite tun:

beim Server (das Netz 192.168.5.0 ist auf der "anderen Seite"):
route 192.168.5.0 255.255.255.0

beim Client(das Netz 192.168.178.0 ist auf der "anderen Seite"):
route 192.168.178.0 255.255.255.0

(so sagt z.B. das vorhandene route 10.0.0.0 255.255.255.0, dass alle anderen PC's aus dem Netz 10.0.0.0 über den Tunnel erreicht werden können. Das ist eigentlich überflüssig, weil es dieses Netzt ja eigentlich nicht gibt..)

Eine andere Möglichkeit ist es, der anderen Seite mitzuteilen, welche Netze denn lokal vorhanden ist. Man "schiebt" dann die routen auf die andere Seite mit "push". Die Gegenseite muss diese Dinge "abholen" mit dem Befehl "pull":
beim Server (hole Routen ab; bei mir ist das Netz 192.168.178.0, also schick mir die Pakete dafür):
pull
push "route 1192.168.178.0 255.255.255.0"

beim Client (hole Routen ab; bei mir ist das Netz 192.168.5.0, also schick mir die Pakete dafür):
pull
push "route 1192.168.5.0 255.255.255.0"


Der bei dir vorhandene Befehl push "dhcp-option DNS 10.0.0.1" ist nur dafür, dass der DHCP-Server auf der anderen Seite benutzt wird. Den sollte (wenn überhaupt benötigt) der Server zum Client schicken (mit der Server-IP).

Jörg
 
Vielen Dank für die ausführliche Erklärung - jetzt habe ich es verstanden.

tarsia
 
Hallo,
heißt das, der zugreifende PC muss immer die selbe ip haben? Was macht man mit einem Notebook bei wechselseitigen Netzen? Oder habe ich das alles noch nicht verstanden?
Gruß
Huor
 
... vielleicht noch nicht so ganz, oder ich habe die Frage missverstanden ;-)
Der PC als Client bekommt ja quasi eine "neue Adresse", diese kennt der Server und kann ihn erreichen. Und was sonst noch am Server hängt sollte bekannt sein, das kann man im Client eintragen oder dem Client übermitteln. Die "echte" IP (also z.B. die Internet-IP) muss nur vom Server bekannt sein, der Client darf auch eine dem Server unbekannte IP haben (und hat das auch in der Regel). Ob der Client die IP "selbst hat" oder per NAT hinter einem Router hängt muss nur ggf. mittels "float" erlaubt werden.

Nur wenn "hinter dem Client" noch andere Geräte sind (wenn man also ganze Netze verbinden will), muss man noch mehr Aufwand treiben. Ds diese Netze sich aber normalerweise nicht ändern, kann man die vorher festlegen.

Jörg
 
Zuletzt bearbeitet:
Hi,

bin neu hier, aber habe mich schon ein wenig in Eurem Forum und im Internet über das Thema informiert.

Also ich habe openVPN schon länger in gebrauch, allerdings auf mehreren Linux rechnern. Habe dann schon verscheidenen Anleitungen gelesen und Versucht openVPN auf der FritzBox 7141 zum laufen zu bringen.

Leider habe ich noch kein bin gefunden, was auf meiner Box läuft. Habe die 7141 mir der Firmware 40.04.37. Glaube das liegt an dem neuen Kernel.

Habe dann versucht hier über die Download Section an ein OpenVPN zu gelangen, was auf der Box läuft, leider nix gefunden. Das Forum und die Download-Section ist doch sehr groß und unüberschaubar, wenn man nicht genau weiß wonach man suchen soll.

Ich bräuchte eigentlich nur ein OpenVPN was ich auf der oben beschriebenen Box starten kann.

DAnke
 
MaxMuster schrieb:
Damit die Netze auf der "anderen Seite" erreicht werden können, müssen die Routen dafür gesetzt werden. Das kannst du entweder "manuell" auf der Client- und Server-Seite tun:

beim Server (das Netz 192.168.5.0 ist auf der "anderen Seite"):
route 192.168.5.0 255.255.255.0

beim Client(das Netz 192.168.100.0 ist auf der "anderen Seite"):
route 192.168.100.0 255.255.255.0

Jörg

Hallo MaxMuster,

ich habe diesen Thread nun mehrmals duchgekaut . . . mein Problem ist nicht dabei.
Fakten: FBF 7050 FW 14.04.33 mit dem The-Construct Update

Ich möchte mich mit meinem Laptop von Unterwegs ( Einwahl über Modem via Provider ) mit meinem Heim - Netz verbinden. Der Tunnel steht von der 10.0.0.1 zur 10.0.0.2, ein Ping geht.
Die FBF 7050 hat die 192.168.100.100.
Wie muss ich denn den Laptop konfigurieren ?!
Falls ich die IP aus dem Beispiel 192.168.5.0 nehme, wo trage ich sie ein ?!

Oder Fehlt auf der FBF noch ein Routing Eintrag ?!
 
desastermaster schrieb:
Hallo MaxMuster,

ich habe diesen Thread nun mehrmals duchgekaut . . . mein Problem ist nicht dabei.
Fakten: FBF 7050 FW 14.04.33 mit dem The-Construct Update

Ich möchte mich mit meinem Laptop von Unterwegs ( Einwahl über Modem via Provider ) mit meinem Heim - Netz verbinden. Der Tunnel steht von der 10.0.0.1 zur 10.0.0.2, ein Ping geht.
Die FBF 7050 hat die 192.168.100.100.
Wie muss ich denn den Laptop konfigurieren ?!
Falls ich die IP aus dem Beispiel 192.168.5.0 nehme, wo trage ich sie ein ?!

Oder Fehlt auf der FBF noch ein Routing Eintrag ?!

Hi,
das gleiche Problem habe ich auch. Du brauchst ein Routing-Eintrag von dem 10.0.0.x - Netz in dein "normales" 192.168.100.x - Netz. Dann kannst du auf alle Geräte mit der IP-Adresse 192.168.100.x zugreifen.

Leider kann ich dir nicht helfen wie es genau geht. Doch in einem vorigen Post wurde gesagt das es in der ar7xxx - Datei ein Eintrag angelegt werden kann, der dass macht. Wie gesagt leider habe ich auch keine Ahnung. Bei mir kommt immer eine Fehlermeldung.

Sorry
 
@desastermaster
Vielleicht war es noch nicht klar genug, dass es übertragbar wäre ;-):
Wenn der Client auf das Netz 192.168.100.0 zugreifen soll (in dem die 192.168.100.100 der FBF ist) trägst du dieses auf dem Client ein mit:
Code:
route 192.168.100.0 255.255.255.0
Das besagt: Für das Netz 192.168.100.0 benutze die VPN-Verbindung zum Server, in deinem Fall sollte dann in deiner Routingtabelle auf dem Client stehen, dass 192.168.100.0 über das Gateway 10.0.0.x (die IP des Servers) zu erreichen ist und ein Ping auf die 192.168.100.100 sollte klappen...
Wennn du wie bei dir nur mit dem Client Zugriff benötigst, kannst du dir die Einträge auf dem Server sparen, mit denen du auf der Client-Seite mehrere Rechner erreichen kannst (was in dem Beispiel das mit dem Netz 192.168.5.0 war).

Jörg
 
Gelöst: Per DFUE Einwahl über FBF ins Heimnetz !

MaxMuster schrieb:
@desastermaster
Vielleicht war es noch nicht klar genug, dass es übertragbar wäre ;-):

Das besagt: Für das Netz 192.168.100.0 benutze die VPN-Verbindung zum Server, in deinem Fall sollte dann in deiner Routingtabelle auf dem Client stehen, dass 192.168.100.0 über das Gateway 10.0.0.x (die IP des Servers) zu erreichen ist und ein Ping auf die 192.168.100.100 sollte klappen...

Jörg

Hallo MaxMuster - ich bin es mal wieder . . .

. . . . mit positiver Resonanz !!

Also: Du hast Dich auch in den anderen Threads klar und verständlich ausgedrückt ! Nur dass ich ein wenig auf dem Holzweg war !

Mein Fehler ( und den habe ich schon seit zwei Tagen übersehen ) :
Die Route 192.168.100.0 ging nicht auf die 10.0.0.2 der Fritzbox sondern auf die 10.0.0.1 des Laptop . . . shit - das hat denn mal eben ein verregnets Wochenende gekostet.

Nichts desto trotz vielen Dank an Dich für den hilfreichen Tipp in letzter Minute (der Laptop war bereits eingepackt) .

Elöst grüsst DesasterMaster
 
hmmmmm,

jetzt bin ich total verwirrt.

Also ich habe eine FritzBox mir der IP: 192.168.100.100 (beispiel)

jetzt habe ich einen Tunnel in einem 192.168.0.x - Netz aufgebaut.

Also mein PC hat die IP 192.168.0.200 die FritzBox 192.168.0.100. Ich kann jetzt von dem PC aus die ip 192.168.0.100 pingen und darüber das Webfrontend der FritzBox erreichen. Also gehe ich davon aus, das der Tunnel funktioniert. Jetzt habe ich das Problem, dass ich noch nicht auf das 192.168.6.x - Netz zugreifen kann.

Ich bin bisher davon ausgegangen, dass ich jetzt an der FritzBox sagen muss, alles was über die 192.168.0.100 reinkommt, leite das weiter an die 192.168.100.100, also die FritzBox selbst. Die verwaltet dann die PCs die sich über VPN-Verbinden genauso wie die PCs die im lokalen Netz vorhabenden sind. Also bekommen eine IP per DHCP zugewiesen, die dann im 192.168.100.x Netz liegt. Wie das dann mit dem Gateway usw ist weiß ich auch nicht, wäre auch egal, zur Not würde ich auch die IP-Adresse von Hand zuweisen, aber ich brauche doch auf jeden Fall eine Brücke von dem VPN-Netz in das eigentliche Netz.

In dem Beispiel also von dem VPN 192.168.0.x nach 192.168.100.x. Vielleicht bekomme ich es mit Eurer Hilfe noch hin.

DANKE
 
Hi,

damit du vom Client aus auf das Netz zugreifen kannst, musst du ganz genau das gleiche tun, wie oben beschrieben ist (in Beitrag #430), damit der Client weiss, wo er das Netz 192.168.100.x finden kann, nämlich hinter dem Server.

Die Serverbox findet den Client, da sich dieser ja mit der VPN-Client-IP meldet und die Serverbox weiß, dass diese Adresse beim VPN-Client ist.

Weitere Einträge auf der Fritzbox sollten nicht nötig sein (die weiß schon "von sich aus", wo sie mit den Paketen für das Netz 192.168.100.x hin muss, weil das ja "angeschlossen" ist).

big_blue schrieb:
Jetzt habe ich das Problem, dass ich noch nicht auf das 192.168.6.x - Netz zugreifen kann.

Wo ist denn nun das Netz? Das kam vorher nicht vor.

Jörg
 
Ich hab jetzt nicht den ganzen Thread durchgelesen, und möglicherweise wurde das folgende schon gesagt.
Routen für die über OpenVPN erreichbaren Netze können differenziert konfiguriert werden. Einige Kommandos dazu sind z.B. push, pull, route und iroute.
Details und Beispiele dazu finden sich in der manpage und auf der openvpn.net Website.
 
MaxMuster schrieb:
Hi,
192.168.6.X Wo ist denn nun das Netz? Das kam vorher nicht vor.

Sorry, da habe ich mich vertippt. Muss natürlich auch 192.168.100.x heißen.

Ok, werde es einfach noch mal versuchen, so wie in #430 beschrieben wurde. Habe es bisher nur im Lokalen Netz versucht. Und da ist so ein Routing-Eintrag ja nicht sehr sinvoll zum testen.

Danke
 
Mini-Howto für OpenVPN

Hallo,
da bei mir das Routing (auch) nicht funktioniert hat, habe ich ein bisschen an der Konfiguration geschraubt und nun läuft alles.

Dokumentiert habe ich es in meinem Blog.

Ich hoffe das hilft vielleicht jemandem :)
 
Hi,

danke für den Beitrag. Dann sage aber doch noch bitte, was genau du ändern musstest, damit jemand auch einen Nutzen draus ziehen kann.

Wenn ich mir die Configs so ansehe, wäre da nach meinem Verständnis ein "minimaler Fehler" (überflüssige bzw. unvollständige Einträge) drin:

Der Server "pushed" eine Route und den DHCP-DNS, was der Client nicht mit "pull" abholt (erklärt das vielleich dein vermutetes Windows-Problem?)

Jörg
 
Hi,
"pull" funktioniert nur bei "tls-server/tls-client". Das einzige was sich wirklich unterscheidet ist der "route" Eintrag, da hier lediglich die Route ins Fremdnetz angegeben ist. Seh ich das richtig?
Mir ist allerdings gerade schleierhaft, warum meine andere Konfiguration funktioniert. Muss wohl erst einen Kaffee trinken ;-9
 
... ja, das siehst du wohl richtig.
Allerdings ist mir schleierhaft, was dir schleierhaft ist (o.k., ich habe auch erst zwei Kaffees intus;-)).
Was sollte denn an der Config noch fehlen oder nicht funktionieren? Eigentlich müsste sogar auf dem Client (durch das redirect gateway, das eine Default-Route anlegt) die Route für das LAN auf der anderen Seite überflüssig sein...

Jörg
 
FFL schrieb:
Hi,
"pull" funktioniert nur bei "tls-server/tls-client".
...
Das ist nicht richtig. Ich habe eine Konfiguration ohne "tls-server/tls-client" und push/pull funktioniert mit mehreren Boxen ohne Probleme ohne Probleme.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.