VPNTunnel.de mit Freetz openVPN

[aikon29]

Ok ok, hab schon verstanden Ich habe nicht nur geklickt, sondern auch gelesen, obwohl... Wenn ich noch 50000 mal geklickt hätte, vielleicht es ja dann geklappt

- du brückst das LAN mit dem VPN, obwohl es unterschiedliche Netze sind

Da könntest du recht haben, weil ich mich bisher immer nur von einzelnen Clients mit dem VPN-Server verbunden habe und ich somit mein Browser dann nicht mehr wusste, für welches WebIF er sich entscheiden sollte, deshalb habe ich die unterschiedlichen Netze gewählt.

Hier kommt die

Server-Conf

# OpenVPN Server-Config                                                         
                                                                                
port 443                                                                        
proto udp                                                                       
mode server                                                                     
dev tap                                                                         
dev-node /var/tmp/tun                                                           
# insert onto shell: mknod /var/tmp/tun c 10 200                                
ifconfig 192.168.101.1 255.255.255.0                                            
# legt die IP-Adresse und Subnetzmaske f?r den Server fest                      
ifconfig-pool-persist ipp.txt                                                   
#ifconfig-pool 192.168.101.2 192.168.101.6                                      
server 192.168.101.0 255.255.255.0                                              
client-to-client                                                                
# die Clients (falls mehrere) k?nnen sich untereinander sehen                   
tls-server                                                                      
# Pfad zu den Zertifikaten mu? ggf. angepasst werden, da der Name des USB-Sticks
ca /var/media/ftp/uStor01/ovpn/ca.crt                                           
cert /var/media/ftp/uStor01/ovpn/fritzbox.crt                                   
key /var/media/ftp/uStor01/ovpn/fritzbox.key                                    
dh /var/media/ftp/uStor01/ovpn/dh2048.pem                                       
# daemon                                                                        
# Als Daemon starten                                                            
comp-lzo                                                                        
#push "route-gateway 192.168.101.1"                                             
# legt beim Client das Gateway f?r Verbindungen in das Netz des Servers fest    
# als route-gateway mu? die IP-Adresse des virtuellen Netzwerkadapters des      
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...") 
tun-mtu 1500                                                                    
tun-mtu-extra 32                                                                
# Wichtig: falls die Parameter "tun-mtu" und "tun-mtu-extra" verwendet werden,  
# so mu? dies bei beiden configs erfolgen,                                      
# also in der Server-config [b]und[/b] in der Client-config !                   
max-clients 4                                                                   
# max. 4 Clients k?nnen sich zeitgleich zum OpenVPN-Server connecten            
# Hinweis: der IP-Adresspool (siehe oben) mu? ggfs. entsprechend                
# angepa?t werden bzw. gro? genug sein.                                         
verb 3                                                                          
# schaltet die Protokollierung auf die Stufe 3                                  
mute 50                                                                         
# max. 50 Fehlermeldungen der gleichen Kategorie werden protokolliert           
keepalive 10 60                                                                 
# Timeouts f?r den Servermode, ping alle 10 Sek., Neustart, falls nach          
# 60 Sek. keine R?ckantwort kommt.                                              
#ping-timer-rem                                                                 
#persist-key                                                                    
persist-tun                                                                     
#push "ping-timer-rem"                                                          
route 192.168.101.0 255.255.255.0                                               
push "route 192.168.100.0 255.255.255.0"                                        
#push "redirect-gateway"                                                        
# legt (beim Client) einen Routingeintrag zum internen Netzwerk im Server-Lan fe
# hier ist das interne Netz auf der Serverseite anzugeben                       
# z.b. route 192.168.1.0 255.255.255.0                                          
auth SHA1                                                                       
cipher AES-256-CBC                                                              
log logging.log                                                                 
status status.log

Und hier die Client-Conf

#  OpenVPN 2.1 Config, Wed Feb 29 21:39:04 CET 2012
proto udp
dev tap0
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote wirdnichtverraten.dyndns.org 443
nobind
pull
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

 

[MaxMuster]

Hast du die Netze auf einer/beiden Seiten gebrückt?

Welche IP bekommt der Client? Wegen ipp.txt und geänderter IPs?

Ist UDP Port 443 im Server auf die IP 0.0.0.0 "weitergeleitet"?

 

[aikon29]

Ich habe das Netz nur vom Client aus gebrückt im WebIF. Auf der Serverseite habe ich die Einstellungen nicht über das WebIF gemacht, das heißt, ich kann da nicht mal eben einen haken setzen und gut ist.

Die Client-Box (7170) bekommt die IP 192.168.101.5.

Das UDP Port ist bereits auf 0.0.0.0 weitergeleitet, da ich mich ja schon erfolgreich von Windows-Clients mit dem VPN-Server verbinden kann. Oder würdest du das anders sehen?

Achja, schon mal schönen Dank für deine Antworten!

 

[MaxMuster]

Nimm auf jeden Fall den Haken raus, das macht keinen Sinn (und eher Probleme), wenn die Netze verschieden sind.

Wenn die anderen Clients sich in genau dieser Konstellation erfolgreich verbinden konnten, wird's schon stimmen (und 0.0.0.0 ist ja auch das Gewünschte).

EDIT Die Brücke könnte ja auch direkt gesetzt sein, per Console oder in der ar7.cfg (Hinzufügen von tap0 zu "brinterfaces")

 

[aikon29]

Also bei der Verbindung macht das keinen Unterschied, ob der haken gesetzt ist oder nicht.
Habe jetzt gerde von TAP auf TUN umgestellt und bekomme jetzt auf der Server-Box ein "Connection refused" zurück.
Allerdings habe ich gerade nochmal auf der Client-Box in der ar7.cfg unter brinterfaces nachgesehen und da hatte ich in meinem ganzen Wahn schon das tap0 hinzugefügt. Habe es jetzt nochmal raus genommen und einen Reboot durchgeführt, mal sehen was passiert.

EDIT: Bleibt das gleiche Bild "Connection refused"

2. EDIT: Halt stop! Ich kann jetzt auf jeden fall auf der gegenseite anpingen, sowohl das VPN-GW, als auch die Lokale FB-IP. Ich werde aber erst morgen weiter prüfen, ob alles funktioniert, so wie ich mir das vorstelle, aber bis hier hin schon mal TOP arbeit von dir

 

[MaxMuster]

Kein Problem, gehe jetz auch "in die Heia", du hast aber beim Client und Server das gleiche? Also beide "tap" oder "tun"?

 

[aikon29]

So, da bin ich wieder.

Was mir in meiner Server-Conf aufgefallen ist, dass ich dort beides angegeben habe.

siehe hier

# OpenVPN Server-Config

port 443
proto udp
mode server
dev tap
dev-node /var/tmp/tun
# insert onto shell: mknod /var/tmp/tun c 10 200

Da bin ich mir jetzt nicht ganz sicher, ob das so sein sollte

Wenn ich auf der Server-Box ein "ifconfig" ausführe sieht das ganze so aus.

tap0      Link encap:Ethernet  HWaddr 1A:68:CE:1F:C5:84  
          inet addr:192.168.101.1  Bcast:192.168.101.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:50666 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8410 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:50327163 (47.9 MiB)  TX bytes:3619970 (3.4 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

EDIT: Und ich kann von der Server-Box nur bis zur FB 6360 pingen, also die 192.168.200.1 und keinen Client in dem Netz.

 

[MaxMuster]

Wenn du eine Kiste "hinter" dem VPN-Client anpingen kannst ist das ja schonmal super ;-)

Wichtig sind noch zwei Dinge:
- Alle Geräte aus dem Netz 192.168.200.0 müssen wissen, wie sie sowohl das "VPN-Netz" 192.168.101.0 und ggf das LAN auf der anderen Seite (192.168.100.0) erreichen, nämlich über den VPN-Client. Es muss also eine Route für diese Netze zur IP der VPN-Client-FB geben, am einfachsten auf dem DG, also der 6360.
- Viele Geräte (Windows z.B.) haben eine eingebaute Firewall, und die beiden anderen Netze sind "fremd", so dass vermutlich Zugriffe geblockt werden, wenn das nicht erlaubt wird.

 

[aikon29]

Wenn du eine Kiste "hinter" dem VPN-Client anpingen kannst ist das ja schonmal super

Ja auf jeden fall, das hat mich schon einen großen Schritt nach vorne gebracht.

Wenn ich dich richtig verstanden habe, sollten die Routen auf der 6360 so aussehen oder!?

              Netzwerk                               Subnetzmaske                              Gateway
        192.168.100.0                              255.255.255.0                              192.168.200.100 (FB 7170 VPN-Client)
        192.168.101.0                              255.255.255.0                              192.168.200.100 (FB 7170 VPN-Client)

Wenn ich die Routen so setze, dann bekomme ich von meinem Mac im 200-er Netz keine Antwort die 192.168.100.1 und auf 192.168.101.1

 

[MaxMuster]

Ja, genauso. Mir fällt gerade ein, dass du ja eine Multi-Client Konfig hast?
Dann weiß der Serer nicht, zu welchem Client er Netze routen soll, die ihm der Kernel übergibt. Du müsstest ein "Netz beim Client" dann über die erweiterte Clientkonfiguration eintragen:

Für den CN (den Namen, den du im Zertifikat eingegeben hast) gibst du da eine IP aus dem VPN-Netz fest vor (ungleich dem "DHCP-Bereich") und trägst dann das Netz ein, was beim Client ist (192.168.200.0 255.255.255.0).
Was mich stutzig macht ist, dass du die 6360 erreichen konntest. Mach doch bitte mal einen Trace vom/in das Netz auf der anderen Seite. Wie weit geht das?

EDIT: Du startest den Server ja "von Hand", nicht mit freetz...

Dann brauchst du eine Datei, die genauso wie der Name im Zert heißt (also "Client01" "Hansi@home" oder wie auch immer) mit diesem Inhalt im sogenannten "client-config-dir" Ordner:

ifconfig-push 192.168.101.201 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
iroute 192.168.200.0 255.255.255.0

Wenn diese Datei also in /var/media/ftp/uStor01/ovpn/ccd liegt, muss in die Server-Config noch:


client-config-dir /var/media/ftp/uStor01/ovpn/ccd

 

[aikon29]

Sorry für die späte Antwort, aber es kam ein Besuch nach dem anderen, der nicht angemeldet war und dann musste ich zähneknirschend den Rechner außer acht lassen :x

Ja, genauso. Mir fällt gerade ein, dass du ja eine Multi-Client Konfig hast?

Was genau meinst du damit? Meinst du mit Multi-Client, dass ich sowohl Linux, Windows und Mac über VPN verbinde?

Für den CN (den Namen, den du im Zertifikat eingegeben hast) gibst du da eine IP aus dem VPN-Netz fest vor (ungleich dem "DHCP-Bereich") und trägst dann das Netz ein, was beim Client ist (192.168.200.0 255.255.255.0).
Was mich stutzig macht ist, dass du die 6360 erreichen konntest. Mach doch bitte mal einen Trace vom/in das Netz auf der anderen Seite. Wie weit geht das?

Also für jeden CN vergebe ich ja einen individuellen Namen und diesen Namen lege ich in der "ipp.txt" mit der entsprechenden IP-Adresse fest.
Ein Traceroute auf der Server-Box sieht so aus

root@fritz:/var/mod/root# traceroute 192.168.200.1
traceroute to 192.168.200.1 (192.168.200.1), 30 hops max, 38 byte packets
 1  192.168.200.1 (192.168.200.1)  0.647 ms  0.290 ms  0.250 ms

oder auf den VPN-Client (FB 7170)

root@fritz:/var/mod/root# traceroute 192.168.101.5
traceroute to 192.168.101.5 (192.168.101.5), 30 hops max, 38 byte packets
 1  192.168.101.1 (192.168.101.1)  3006.421 ms !H  3009.716 ms !H  3010.355 ms !H

Auf der Client-Box ein Traceroute sieht so aus

root@fritz:/var/mod/root# traceroute 192.168.101.1
traceroute to 192.168.101.1 (192.168.101.1), 30 hops max, 38 byte packets
 1  dns.fritz.box (192.168.200.1)  1.168 ms  0.910 ms  1.431 ms
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *
 6  *  *  *
 7  *  10.81.0.1 (10.81.0.1)  10.916 ms !A  *
 8  *  *  *
 9  *  *  *
10  10.81.0.1 (10.81.0.1)  13.799 ms !A  *  *
11  *  *  *
12  *  *  10.81.0.1 (10.81.0.1)  30.097 ms !A
13  *  *  *
14  *  *  *
15  10.81.0.1 (10.81.0.1)  12.596 ms !A  *  *
16  *  *  *
17  *  *  *
18  *  *  *
19  *  *  *
20  10.81.0.1 (10.81.0.1)  10.928 ms !A  *  *
21  *  *  10.81.0.1 (10.81.0.1)  13.508 ms !A
22  *  *  10.81.0.1 (10.81.0.1)  10.151 ms !A
23  *  *  *
24  *  *  *
25  *  *  *
26  *  *  *
27  *  *  *
28  *  *  *
29  *  *  *
30  *  *  *

oder auf die IP vom Lokalen Netz des VPN-Servers (FB 7270)

root@fritz:/var/mod/root# traceroute 192.168.100.1
traceroute to 192.168.100.1 (192.168.100.1), 30 hops max, 38 byte packets
 1  192.168.100.1 (192.168.100.1)  71.447 ms  37.587 ms  39.707 ms

ifconfig-push 192.168.101.201 255.255.255.0
push "route 192.168.100.0 255.255.255.0"
iroute 192.168.200.0 255.255.255.0

Wieso müsste ich denn ein ifconfig-pusch auf 192.168.101.201 machen??? Die .201 habe ich doch noch gar nicht vergeben.

EDIT: Was mich auf der Server-Box stutzig macht!!!

root@fritz:/var/mod/root# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
[B]192.168.200.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0[/B]
XX.XXX.XX.XX     0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 guest
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl

tap0      Link encap:Ethernet  HWaddr   
          inet addr:192.168.101.1  Bcast:192.168.101.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:60321 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23927 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:52368729 (49.9 MiB)  TX bytes:8886683 (8.4 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.200.1  P-t-P:192.168.200.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3982 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:143856 (140.4 KiB)

Hier die Client-Box

root@fritz:/var/mod/root# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   192.168.101.1   255.255.255.0   UG    0      0        0 tap0
192.168.101.0   192.168.200.1   255.255.255.0   UG    0      0        0 lan
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.200.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
0.0.0.0         192.168.200.1   0.0.0.0         UG    9      0        0 lan

Viele Grüße

aikon29

 

[MaxMuster]

Meinst du mit Multi-Client, dass ich sowohl Linux, Windows und Mac über VPN verbinde?

Multiclient heißt, dass sich mehrere Clients gleichzeitig verbinden können. Das stellst du z.B. mit "mode server" und "max-clients 4" ein. Damit ist es dem Server unmöglich festzustellen, wohin er ein Netz routen soll, was nur mit "route" angegeben ist. Deshalb ist hier dann erforderlich, ein Zuordnung zwischen dem einzelnen Client und dem Netz beim Client herzustellen. Das macht der "iroute" Befehl.
Wie gesagt, das musst du machen, sonst kannst du kein Netz beim Client nutzen. Die Datei vergibt auch die IP und ersetzt in dem Sinne dann auch die ipp.txt Datei.

Wieso müsste ich denn ein ifconfig-pusch auf 192.168.101.201 machen??? Die .201 habe ich doch noch gar nicht vergeben.

Weil du eine IP nutzen musst, die nicht vom "DHCP" (ifconfig-pool") vergeben wird. War nur ein Beispiel.

root@fritz:/var/mod/root# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
...
[B]192.168.200.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0[/B]
XX.XXX.XX.XX     0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
[B]192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
[/B]...

Hier die Client-Box

root@fritz:/var/mod/root# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   192.168.101.1   255.255.255.0   UG    0      0        0 tap0
[B]192.168.101.0   192.168.200.1   255.255.255.0   UG    0      0        0 lan[/B]
192.168.101.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.200.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
...

Da ist jetzt aber einiges im Argen und durcheinander...

- Warum hast du denn überhaupt tun0 und tap0 auf dem Server? Hast du mehrere VPN-Server gestartet?
- Warum ist in der Client-Box eine Route für das Netz beim Server (auf die lokale Box)? Das ist falsch.

 

[aikon29]

Also ich glaube, ich muss das ganze nochmal von vorne beginnen. Meine Planung war ja ursprünglich so, dass ich das jetzt so zum laufen bringe und die 7170 dann mit der 7270 tausche und eben noch ein bißchen umstelle mit den IP-Adressen, aber so wie ich das bisher sehe, endet das ganze in einem totalen durcheinander.
Da würde ich in den nächsten Tagen lieber die Boxen tauschen und dann in der endgültigen Konfiguration mich nochmal an dich wenden, wenn ich darf!? Dann stehe ich bald nicht schon wieder vor einem großen durcheinander.
Ich werde die 7270 dann auch mit einem aktuellen Freetz versorgen, sodass ich das dann auch alles über das WebIf machen kann. hoffe ich zumindest.


Viele Grüße

aikon29

 

[aikon29]

Soo, da bin ich wieder.

Ich habe es jetzt zumindest schon soweit, dass die 7170 (Client) eine Verbindung zur 7270 (Server) aufbauen kann. Die 7270 steht als Netzwerkclient hinter der 6360.
Ein Ping vom Client auf die 7270 im lokalen Netz funktioniert, allerdings komme ich von da nicht weiter.

Hier nochmal eben eine Übersicht wie die Netze aufgeteilt sind:

                                                            Lokales Netz            Netzmaske
Client-FritzBox 7170                                 192.168.100.0           255.255.255.0
FritzBox 6360                                          192.168.200.0           255.255.255.0
Server-FritzBox 7270                                192.168.200.0           255.255.255.0
VPN                                                      192.168.101.0           255.255.255.0

Wenn du eine bessere Idee hast, wie ich die Netze untereinander verbinden kann, nehme ich gerne Vorschläge an. Ich würde mich sogar drauf einlassen, das Netz auf der Client-Box dem Netz der Server-Box anzupassen, wenn das aussicht auf Erfolg verspricht.

Viele Grüße

aikon29

 

[MaxMuster]

Hat die 6360 (vermutlich das Standard Gateway im "Servernetz"??) je eine Route für 192.168.100.0 und 192.168.101.0 auf die IP der VPN-Serverbox im LAN?

Damit müsstest du von der Client-Box die 6360 schonmal erreichen können.

 

[aikon29]

EDIT: Das habe ich schon gemacht und ein Ping auf meine Clients im 200-er Netz funktioniertE von der Client-Box, aber nicht von den Clients hinter der 7170.
Irgendwas läuft hier gerade schief und ich bekomme keinen Ping von der Client-Box in das 200-er Netz.

EDIT: Ok, läuft wieder alles mit den u.a. Routen. Musste nur zwischendurch mal OpenVPN restart machen.


Routen auf der 6360:

Netz                                                  Netzmaske                      Gateway
192.168.100.0 (Client-Box-Netz)          255.255.255.0                192.168.200.100 (7270)

192.168.101.0 (VPN-Netz)                  255.255.255.0                192.168.200.100 (7270)

Viele Grüße

aion29

 

[aikon29]

Eine Route auf der Server-Box (7270) bewirkt, dass ich schon mal von meinem Mac die lokale IP der Client-Box im Browser eingeben kann und somit auf das WebIf zugreifen kann, aber weiter als bis zur Client-Box komme ich nicht.

Hier mal die Route auf der 7270:

Netz                                                      Netzmaske                        Gateway
192.168.100.0 (Client-Box-Netz)                          255.255.255.0                   192.168.101.1 (VPN-Server-IP 7270)

Viele Grüße

aikon29

 

[MaxMuster]

Dann sind wir jetzt in etwa wieder da, wo wir schonmal waren ;-)

Hast du im Server noch immer eine Config, die "mehrere Clients" zulässt (also "mode server")? Dann funktionieren Netze "hinter dem Client" nur per "iroute"!

Du siehst ansonsten lauter Log-Einträge dieser Art beim Server:

MULTI: bad source address from client [IP ADDRESS], packet dropped

 

[aikon29]

Vom gefühl her würde ich sagen, dass wir schon ein bißchen weiter sind, als beim letzten mal

Ich habe jetzt im WebIf festgelegt, dass Max. 4 Clients sich glichzeitig mit der Box verbinden können.
Ich habe die Server-Conf komplett über das WebIf festgelegt. Ich habe zwar meine "alte funktionierende" Server-Conf auf die 7270 geladen, aber das starten von dieser hat nicht so geklappt.

Deine beschriebene Fehlermeldung erhalte ich auf der Server-Box nicht und auch auf der Client-Box ist alles im grünen Bereich. Ich musste allerdings auf beiden Boxen die TLS-Funktion ausschalten.

Hilf mir bitte nochmal schnell, wie ich die Config's in der Rudi-Shell ausgeben lassen kann.

EDIT: Schon gefunden.

Hier die Server-Conf:

#  OpenVPN 2.1 Config, Sat Mar 10 17:38:30 CET 2012
proto udp
dev tap0
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
port 443
ifconfig 192.168.101.1 255.255.255.0
push "route-gateway 192.168.101.1"
push "route 192.168.200.0 255.255.255.0"
max-clients 4
mode server
ifconfig-pool 192.168.101.2 192.168.101.5
push "route 192.168.101.0 255.255.255.0"
route 192.168.101.0 255.255.255.0
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Und hier noch die Client-Conf:

#  OpenVPN 2.1 Config, Sat Mar 10 18:08:08 CET 2012
proto udp
dev tap0
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote IP-Adresse 443
nobind
pull
route 192.168.200.0 255.255.255.0 192.168.101.1
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Diesmal sollte aber nichts doppelt oder durcheinander sein ;-)

Viele Grüße

aikon29

 

[MaxMuster]

Den "iroute" bekommst du über die GUI, indem du die "erweiterte Clientconfig" nutzt und dort dem Client eine IP zuweist und dann dort das Netz beim Client angibst.
Ansonsten nochmal der Rat: Nimm lieber TUN, kein TAP.