OpenVPN und Routing
- Ersteller orangutanklaus
- Erstellt am
Binfort
Well-Known Member
Moin skockii,
der rdp Server muß wissen wie er in das 10.0.0.0er Netz kommt, sonnst bekommste nicht mal einen Ping.
Also entweder händisch auf dem Server ne Route ins VPN Netz eintragen oder dem Gateway im 192.168.200.0er Netz ne Route ins VPN Netz eintragen. Beim letzteren kannst dann auf alle Rechner im 192.168.200.0er Netz zugreifen, und umgekehrt.
Für eventuelle Subnetze ist das dann jeweils auszuführen.
Wie hast das mit dem TLS hinbekommen? Musste noch was nach installiert werden?
Nachtrag: Falls es so nicht funzt, poste mal ob der VPN Client die andern Netzwerkkarten des VPN Servers anpingen kann. Die sind ja in den jeweiligen 192.168.200.0er Subnetzen, oder?
der rdp Server muß wissen wie er in das 10.0.0.0er Netz kommt, sonnst bekommste nicht mal einen Ping.
Also entweder händisch auf dem Server ne Route ins VPN Netz eintragen oder dem Gateway im 192.168.200.0er Netz ne Route ins VPN Netz eintragen. Beim letzteren kannst dann auf alle Rechner im 192.168.200.0er Netz zugreifen, und umgekehrt.
Für eventuelle Subnetze ist das dann jeweils auszuführen.
Wie hast das mit dem TLS hinbekommen? Musste noch was nach installiert werden?
Nachtrag: Falls es so nicht funzt, poste mal ob der VPN Client die andern Netzwerkkarten des VPN Servers anpingen kann. Die sind ja in den jeweiligen 192.168.200.0er Subnetzen, oder?
Morgen
ich kann die Netzwerkarten des Vpn-server nicht anpingen da ich mich ja in dem 10.0.0.* netz befinde was virteuell vom vpn server zugewiesen wird wenn ich das richtig verstehen.
Dachte halt mit push "route 192.168.200.0 ....." wäre alles erledigt.
Verstehe ich das richtig das ich nun entweder auf dem rdp server bzw auf dessen gateway (kleine hardwarefirewall) eine route in das 10.0.0.0 netz eintragen muss?
Also ins virtuelle netz oO?
Hier nmal die ausgabe auf dem client falls sie hilft.
Fri Mar 31 09:23:32 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2
005
Fri Mar 31 09:23:32 2006 WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Mar 31 09:23:32 2006 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Fri Mar 31 09:23:32 2006 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32
EL:0 ]
Fri Mar 31 09:23:32 2006 Local Options hash (VER=V4): '7778e742'
Fri Mar 31 09:23:32 2006 Expected Remote Options hash (VER=V4): '3c42a582'
Fri Mar 31 09:23:32 2006 UDPv4 link local (bound): [undef]:5000
Fri Mar 31 09:23:32 2006 UDPv4 link remote: *******.190:5000
Fri Mar 31 09:23:32 2006 TLS Error: Unroutable control packet received from ******.190:5000 (si=3 op=P_ACK_V1)
Fri Mar 31 09:23:35 2006 TLS: Initial packet from ******.190:5000, sid=5a8f1
332 53a01ae4
Fri Mar 31 09:23:36 2006 VERIFY OK: depth=1, /C=DE/ST=OWL/L=*****/O=home/CN=my
-ca/emailAddress=info@home.local
Fri Mar 31 09:23:36 2006 VERIFY OK: depth=0, /C=DE/ST=OWL/O=home/CN=server/email
Address=info@home.local
Fri Mar 31 09:23:38 2006 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Fri Mar 31 09:23:38 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Mar 31 09:23:38 2006 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Fri Mar 31 09:23:38 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Mar 31 09:23:38 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Fri Mar 31 09:23:38 2006 [server] Peer Connection Initiated with ******.190:
5000
Fri Mar 31 09:23:39 2006 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Mar 31 09:23:39 2006 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.100.0 255.255.255.0 10.0.0.1,route 10.0.0.0 255.255.255.0 10.0.0.1,ping 10,pi
ng-restart 120,ifconfig 10.0.0.2 255.255.255.0'
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: timers and/or timeouts modified
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: route options modified
Fri Mar 31 09:23:39 2006 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\
{F52F28A2-6557-4FB5-B54B-0F721DD0050C}.tap
Fri Mar 31 09:23:39 2006 TAP-Win32 Driver Version 8.1
Fri Mar 31 09:23:39 2006 TAP-Win32 MTU=1500
Fri Mar 31 09:23:39 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.0.0.2/255.255.255.0 on interface {F52F28A2-6557-4FB5-B54B-0F721DD0050C} [DHCP-
serv: 10.0.0.0, lease-time: 31536000]
Fri Mar 31 09:23:39 2006 Successful ARP Flush on interface [5] {F52F28A2-6557-4F
B5-B54B-0F721DD0050C}
Fri Mar 31 09:23:39 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 31 09:23:39 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 31 09:23:40 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 31 09:23:40 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 31 09:23:41 2006 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Mar 31 09:23:41 2006 route ADD 192.168.100.0 MASK 255.255.255.0 10.0.0.1
Fri Mar 31 09:23:41 2006 Route addition via IPAPI succeeded
Fri Mar 31 09:23:41 2006 route ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.1
Fri Mar 31 09:23:41 2006 Route addition via IPAPI succeeded
Fri Mar 31 09:23:41 2006 Initialization Sequence Completed
ich kann die Netzwerkarten des Vpn-server nicht anpingen da ich mich ja in dem 10.0.0.* netz befinde was virteuell vom vpn server zugewiesen wird wenn ich das richtig verstehen.
Dachte halt mit push "route 192.168.200.0 ....." wäre alles erledigt.
Verstehe ich das richtig das ich nun entweder auf dem rdp server bzw auf dessen gateway (kleine hardwarefirewall) eine route in das 10.0.0.0 netz eintragen muss?
Also ins virtuelle netz oO?
Hier nmal die ausgabe auf dem client falls sie hilft.
Fri Mar 31 09:23:32 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2
005
Fri Mar 31 09:23:32 2006 WARNING: No server certificate verification method has
been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Mar 31 09:23:32 2006 Control Channel MTU parms [ L:1589 D:138 EF:38 EB:0 ET:
0 EL:0 ]
Fri Mar 31 09:23:32 2006 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32
EL:0 ]
Fri Mar 31 09:23:32 2006 Local Options hash (VER=V4): '7778e742'
Fri Mar 31 09:23:32 2006 Expected Remote Options hash (VER=V4): '3c42a582'
Fri Mar 31 09:23:32 2006 UDPv4 link local (bound): [undef]:5000
Fri Mar 31 09:23:32 2006 UDPv4 link remote: *******.190:5000
Fri Mar 31 09:23:32 2006 TLS Error: Unroutable control packet received from ******.190:5000 (si=3 op=P_ACK_V1)
Fri Mar 31 09:23:35 2006 TLS: Initial packet from ******.190:5000, sid=5a8f1
332 53a01ae4
Fri Mar 31 09:23:36 2006 VERIFY OK: depth=1, /C=DE/ST=OWL/L=*****/O=home/CN=my
-ca/emailAddress=info@home.local
Fri Mar 31 09:23:36 2006 VERIFY OK: depth=0, /C=DE/ST=OWL/O=home/CN=server/email
Address=info@home.local
Fri Mar 31 09:23:38 2006 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Fri Mar 31 09:23:38 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Mar 31 09:23:38 2006 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized
with 256 bit key
Fri Mar 31 09:23:38 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Fri Mar 31 09:23:38 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2
56-SHA, 1024 bit RSA
Fri Mar 31 09:23:38 2006 [server] Peer Connection Initiated with ******.190:
5000
Fri Mar 31 09:23:39 2006 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Mar 31 09:23:39 2006 PUSH: Received control message: 'PUSH_REPLY,route 192.1
68.100.0 255.255.255.0 10.0.0.1,route 10.0.0.0 255.255.255.0 10.0.0.1,ping 10,pi
ng-restart 120,ifconfig 10.0.0.2 255.255.255.0'
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: timers and/or timeouts modified
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: --ifconfig/up options modified
Fri Mar 31 09:23:39 2006 OPTIONS IMPORT: route options modified
Fri Mar 31 09:23:39 2006 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\
{F52F28A2-6557-4FB5-B54B-0F721DD0050C}.tap
Fri Mar 31 09:23:39 2006 TAP-Win32 Driver Version 8.1
Fri Mar 31 09:23:39 2006 TAP-Win32 MTU=1500
Fri Mar 31 09:23:39 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1
0.0.0.2/255.255.255.0 on interface {F52F28A2-6557-4FB5-B54B-0F721DD0050C} [DHCP-
serv: 10.0.0.0, lease-time: 31536000]
Fri Mar 31 09:23:39 2006 Successful ARP Flush on interface [5] {F52F28A2-6557-4F
B5-B54B-0F721DD0050C}
Fri Mar 31 09:23:39 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 31 09:23:39 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 31 09:23:40 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Mar 31 09:23:40 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Mar 31 09:23:41 2006 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Fri Mar 31 09:23:41 2006 route ADD 192.168.100.0 MASK 255.255.255.0 10.0.0.1
Fri Mar 31 09:23:41 2006 Route addition via IPAPI succeeded
Fri Mar 31 09:23:41 2006 route ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.1
Fri Mar 31 09:23:41 2006 Route addition via IPAPI succeeded
Fri Mar 31 09:23:41 2006 Initialization Sequence Completed
Binfort
Well-Known Member
dafür ist ja das forwarding auf dem VPN Server aktiviert, d.h. alle Anfragen ins 100er oder 200er Netz werden - so denn die Route eingetragen und die Netzwerkkarten richtig konfiguriert sind - über den VPN Server an die Netzwerke weitergegeben.
Ich habe genau die gleiche Situation bei mir, die zweite NIC des VPN antwortet schon beim forwarding, und die Rechner im Netz arbeiten nachdem die Route ins virtuelle Netz übergeben wurde.
Übernimm mal für den Server folgende Zeile: push "redirect-gateway local def1" und trage in die LAN Verbindung als Gateway den VPN Server ein.
Ich habe genau die gleiche Situation bei mir, die zweite NIC des VPN antwortet schon beim forwarding, und die Rechner im Netz arbeiten nachdem die Route ins virtuelle Netz übergeben wurde.
Übernimm mal für den Server folgende Zeile: push "redirect-gateway local def1" und trage in die LAN Verbindung als Gateway den VPN Server ein.
Hatte ich sonst auch immer. Habe ich nun nur davor geschriebend as geht auch oder nicht.
port 5000
remote name.dyndns.org
zu den anderen 2 punkten. Forwarding muss ich doch nur in yast bei der firewall das häckchen setzen oder nicht?
Und wo soll ich bei der lanverbindung das gateway eintragen??
Bei dem client von dem aus die verbindung aufgebaut wird auf die "name.dyndns.org" adresse oder auf die virtuelle??
Danke für deine schnellen antworten
//edit
ein problem bei deiner lösung die ich bis jetzt noch nicht getestet bzw richtig verstanden habe ist das sich der rechner in einem kleinen netzwerk befindet. ALso der client.
Somit kann ich dem nicht einfach ein anderes default gateway eintragen wenn er schon eins hat und seine ip adresse über einen dhcp server bezieht.
Wenn ich dich richtig verstanden habe sollte er aber durch die route ins 200.0 netz wenigstens mit der netzwerkarte 200.1 sprechen können oder? Das klappt aber auch nicht. Ich habe ne verbindung wie du seihst aber kann nix pingen.
gruß skockii
port 5000
remote name.dyndns.org
zu den anderen 2 punkten. Forwarding muss ich doch nur in yast bei der firewall das häckchen setzen oder nicht?
Und wo soll ich bei der lanverbindung das gateway eintragen??
Bei dem client von dem aus die verbindung aufgebaut wird auf die "name.dyndns.org" adresse oder auf die virtuelle??
Danke für deine schnellen antworten
//edit
ein problem bei deiner lösung die ich bis jetzt noch nicht getestet bzw richtig verstanden habe ist das sich der rechner in einem kleinen netzwerk befindet. ALso der client.
Somit kann ich dem nicht einfach ein anderes default gateway eintragen wenn er schon eins hat und seine ip adresse über einen dhcp server bezieht.
Wenn ich dich richtig verstanden habe sollte er aber durch die route ins 200.0 netz wenigstens mit der netzwerkarte 200.1 sprechen können oder? Das klappt aber auch nicht. Ich habe ne verbindung wie du seihst aber kann nix pingen.
gruß skockii
Zuletzt bearbeitet:
Binfort
Well-Known Member
vergiss das mit dem Port, habe zu spät gesehn das Du ihm in der Konf den Port schon übergeben hattest
nochmal kurz zum Gateway, Du solltest auf dem Client ja zwei Netzwerkverbindungen haben, eine für die NIC und ein virtuelles Tap Device für VPN.
Das für die NIC bekommt fest die IP aus dem Mini 10er Netz, und als Gateway die IP aus dem 10er Netz, welche auch der Server hat, Beispiel die 10.0.0.1 - dann noch den Eintrag rein und gut.
Nutzt Du als VPN Server einen Linux Rechner? Dort kann ich Dir jetzt leider nicht sagen wie das forwarding aktiviert wird, und FreeBSD muß das in der sysctl eingetragen werden.
nochmal kurz zum Gateway, Du solltest auf dem Client ja zwei Netzwerkverbindungen haben, eine für die NIC und ein virtuelles Tap Device für VPN.
Das für die NIC bekommt fest die IP aus dem Mini 10er Netz, und als Gateway die IP aus dem 10er Netz, welche auch der Server hat, Beispiel die 10.0.0.1 - dann noch den Eintrag rein und gut.
Nutzt Du als VPN Server einen Linux Rechner? Dort kann ich Dir jetzt leider nicht sagen wie das forwarding aktiviert wird, und FreeBSD muß das in der sysctl eingetragen werden.
ich kann dem client aber keine feste ip bzw gateway geben da er sich in einem netzwerk befindet und als gateway den entsprechenden server haben muss um überhaupt ins internet zu kommen.
Kann ich da nicht was in die client conf reinschreiben oder gibt es da keine andere möglichkeit?
bzw wenn das routing auf dem server geht und meine push route befehle eingetragen sind dann MUSS ich doch 200.1 pingen können oder? Also die ntzwerkkate von dem Server.
Kann ich da nicht was in die client conf reinschreiben oder gibt es da keine andere möglichkeit?
bzw wenn das routing auf dem server geht und meine push route befehle eingetragen sind dann MUSS ich doch 200.1 pingen können oder? Also die ntzwerkkate von dem Server.
h0sch1
Well-Known Member
Hi skockiii
Hab mir das ganze mal durchgelesen!
Wenn ich das jetzt so richtig verstanden habe, willst du folgendes:
Windows Client muss über die VPN ein ein weiteres Netz kommen und dort mit einem RDP Server eine Verbindung aufzubauen.
Server = 192.168.100.1 , 192.168.200.1, DSL Dynamische IP
VPN Netz = 10.0.0.0/24
Client Netz = Unwichtig!
In diesem Fall musst du folgendes eintragen:
server.conf
Auf dem RDP Server muss der Server mit der IP 192.168.100.1 oder 192.168.200.1 als Gateway drinstehen. Dann sollte es klappen soweit nicht deine Firewall blockt, oder du kein " echo 1> /proc/sys/net/ipv4/ip_forward" auf dem Linux-Server gesetzt hast.
Wenn du aus irgendwelchen Gründen auf dem RDP Server den Gateway nicht eintragen kannst du halt die Route mit aufnehmen.
Ich hoffe das hilft dir weiter!
Hab mir das ganze mal durchgelesen!
Wenn ich das jetzt so richtig verstanden habe, willst du folgendes:
Windows Client muss über die VPN ein ein weiteres Netz kommen und dort mit einem RDP Server eine Verbindung aufzubauen.
Server = 192.168.100.1 , 192.168.200.1, DSL Dynamische IP
VPN Netz = 10.0.0.0/24
Client Netz = Unwichtig!
In diesem Fall musst du folgendes eintragen:
server.conf
Code:
push "route 192.168.100.0 255.255.255.0 10.0.0.1"
push "route 192.168.200.0 255.255.255.0 10.0.0.1"Auf dem RDP Server muss der Server mit der IP 192.168.100.1 oder 192.168.200.1 als Gateway drinstehen. Dann sollte es klappen soweit nicht deine Firewall blockt, oder du kein " echo 1> /proc/sys/net/ipv4/ip_forward" auf dem Linux-Server gesetzt hast.
Wenn du aus irgendwelchen Gründen auf dem RDP Server den Gateway nicht eintragen kannst du halt die Route mit aufnehmen.
Code:
route -p add 10.0.0.0 mask 255.255.255.0 192.168.200.1Ich hoffe das hilft dir weiter!
Erstmal danke!
Problem 1:
Der rdp server steht in einem 0.* netz hinter einer kleinen hardware firewall.
Muss ich die route dann auf der hardwarefirewall eintragen in das vpn netz? Ja oder.
da der rdp server ja in einem ganz anderem netz hinter der firewall steht.
Diese leitet den rdp port einfach durch das geht auch.
Problem 2:
Die push routen hab ich ja genau so gesetzt!
Und ich müsste doch durch die routen wenigstens schonmal die netzwerkkarten des servers sprich 100.1 und 200.1 pingen können was aber nicht geht.
Und die route: route -p add 10.0.0.0 mask 255.255.255.0 192.168.200.1
da müsste odch 200.1 was du geschrieben hast 200.** sein also der rdp server und nicht dientzwerkarte oder?
Mein problem it das der server wo anders steht und ich erstmal das mit den Routen hinbekommen möchte. Also das ich dei netzwerkkarten pingne kann.
gruß skockii
Problem 1:
Der rdp server steht in einem 0.* netz hinter einer kleinen hardware firewall.
Muss ich die route dann auf der hardwarefirewall eintragen in das vpn netz? Ja oder.
da der rdp server ja in einem ganz anderem netz hinter der firewall steht.
Diese leitet den rdp port einfach durch das geht auch.
Problem 2:
Die push routen hab ich ja genau so gesetzt!
Und ich müsste doch durch die routen wenigstens schonmal die netzwerkkarten des servers sprich 100.1 und 200.1 pingen können was aber nicht geht.
Und die route: route -p add 10.0.0.0 mask 255.255.255.0 192.168.200.1
da müsste odch 200.1 was du geschrieben hast 200.** sein also der rdp server und nicht dientzwerkarte oder?
Mein problem it das der server wo anders steht und ich erstmal das mit den Routen hinbekommen möchte. Also das ich dei netzwerkkarten pingne kann.
gruß skockii
h0sch1
Well-Known Member
Hi skockiii
Wenn du mit den zwei push Zeilen nicht pingen kannst. Dann ist wohl dein IP-Forwarding auf dem Linux Server aus:
Probier doch mal:
cat /proc/sys/net/ipv4/ip_forward
Wenn ne "0" kommt ist es aus, dann :
echo 1 >/proc/sys/net/ipv4/ip_forward
Dann muss das pingen gehen.
Bevor du die 2te und 3te Nic vom Linux Server nicht anpingen kannst, brauchen wir mit der Hardware Firewall dahinter gar nicht anfangen.
evtl. ist auf dem Windows-Client eine Personal-Firewall drauf, die die pings blockt.
mfg Hoschi
Wenn du mit den zwei push Zeilen nicht pingen kannst. Dann ist wohl dein IP-Forwarding auf dem Linux Server aus:
Probier doch mal:
cat /proc/sys/net/ipv4/ip_forward
Wenn ne "0" kommt ist es aus, dann :
echo 1 >/proc/sys/net/ipv4/ip_forward
Dann muss das pingen gehen.
Bevor du die 2te und 3te Nic vom Linux Server nicht anpingen kannst, brauchen wir mit der Hardware Firewall dahinter gar nicht anfangen.
evtl. ist auf dem Windows-Client eine Personal-Firewall drauf, die die pings blockt.
mfg Hoschi
Ich weiß echt nicht weiter....
ip_forward war die ganze zeit auf 1 ist also an.
Bei der Suse firewall ist port 500 freigegeben und auf dem client ist nix drauf (xp firewall auch aus)
Woran kann das sonst noch liegen das ich da nix pingen kann.
Bzw ich kann 10.0.0.1 auch nicht pingen ....
ip_forward war die ganze zeit auf 1 ist also an.
Bei der Suse firewall ist port 500 freigegeben und auf dem client ist nix drauf (xp firewall auch aus)
Woran kann das sonst noch liegen das ich da nix pingen kann.
Bzw ich kann 10.0.0.1 auch nicht pingen ....
So also die Verbindugn auf den RDP Server geht auch schon.
Gatewa ist schon richtig eingetragen gewesen ...
Einziges Problem ist noch die SuseFirewall.
Hat einer von euch da Ahnung von?
Susefirewall aus = geht alles
Susefirewall an = geht nix AN = forwarding aktiviert und port 500 = open
Brauch man da noch ne IPTABLES regel??
Gatewa ist schon richtig eingetragen gewesen ...
Einziges Problem ist noch die SuseFirewall.
Hat einer von euch da Ahnung von?
Susefirewall aus = geht alles
Susefirewall an = geht nix AN = forwarding aktiviert und port 500 = open
Brauch man da noch ne IPTABLES regel??
h0sch1
Well-Known Member
Hi skockiii
SuSE Firewall kenn ich, find ich aber nicht so den brüller.
Hab deswegen und weil es mir mal langweilig war einen eigenes Firewall Script gebastelt.
( siehe Anhang! )
Sollte eigentlich selbsterklärend sein
WICHTIG!
Bei dem Dateinamen die Endung .zip entfernen
Nach dem auspacken, die Datei Makefile anpassen
SuSE Firewall kenn ich, find ich aber nicht so den brüller.
Hab deswegen und weil es mir mal langweilig war einen eigenes Firewall Script gebastelt.
( siehe Anhang! )
Sollte eigentlich selbsterklärend sein
WICHTIG!
Bei dem Dateinamen die Endung .zip entfernen
Nach dem auspacken, die Datei Makefile anpassen
Oha 
Erstmal vielen dank werde ich mir wenn ich Zeit habe mal genauer angucken.
Im moment will ich aber einfach nur das vpn läuft auch wenn die Suse Firewall an ist.
Kann ja nicht so das prob sein.
Werde da wohl noch nen bisschen umtesten müssen.
Falls einer von euch doch noch ne idee hat woran das liegen kann das wenn die firewall an ist ( mit forwarding = 1 ) es nicht möglich ist zu pingen ( also die netwerkarte des servers ) wäre das super.
Erstmal schonmal vielen dank für eure hilfe und für dein super script
Erstmal vielen dank werde ich mir wenn ich Zeit habe mal genauer angucken.Im moment will ich aber einfach nur das vpn läuft auch wenn die Suse Firewall an ist.
Kann ja nicht so das prob sein.
Werde da wohl noch nen bisschen umtesten müssen.
Falls einer von euch doch noch ne idee hat woran das liegen kann das wenn die firewall an ist ( mit forwarding = 1 ) es nicht möglich ist zu pingen ( also die netwerkarte des servers ) wäre das super.
Erstmal schonmal vielen dank für eure hilfe und für dein super script
Hallo,
so ich hoffe das es okay ist das ich diesen Artikel nochmal aus der Mottenkister
hochschiebe aber mein Problem scheint aehnlicher Natur zu sein, wenn ich denn
eins habe, nach langem rumsuchen und Versuchen hab ich leider bissher noch
keine so richtige Loesung gefunden, vielleicht kann mir hier jemand n Tipp geben
woran ich scheitere, das waere super (o:
Mein Problemchen:
Ich betreibe ein Netzwerk welches aus zwei Subnetzen besteht:
10.0.1.0/24
10.0.2.0/24
beide Netze koenen sich ueber den Router 10.0.1.254 erreich, alles
prima. Nun wollte ich einen Fernzugriff auf beide Netze realiesieren
via OpenVPN. Dazu habe ich OpenVPN auf dem OS X 10.4 Server im
10.0.2.0/24 Netzt, installiert, Zertifikate usw. erstellt und kann mich
auch aus dem Internet auch drauf verbinden. Das VPN Netz hat den
Adressbrereich 10.0.20.0/24 (siehe server.conf)
Ausserdem habe ich mal der Uebersicht halber das Netzwerk hier
mal aufgezeichnet:
Ich hoffe die Routen sind so richtig?! Auf dem Server habe ich das
IP-Forwarding aktiviert. Im Router (10.0.1.254) habe ich noch die
zusaetzliche Route 10.0.20.0 255.255.255.0 mit dem OS X Server
als Router/Gateway 10.0.2.10 eingetragen. Wenn ich mich nun mit
dem Client via Internet auf den OpenVPN Server einwaehle erreiche
ich die beiden 10.0.20.0/24 10.0.2.0/24 Netze. Was zum Teufel nicht
zu erreich ist, ist das 10.0.1.0/24 Netz
Eigentlich bin ich davon ausgegangen das Pakete vom VPN ueber
den OS X Server zum Router und dann ins 10.0.1.0/24 Netz geleitet
werden und die Rueckantwort da ja die Route bei den Clients im
10.0.1.0/24 Netz nicht bekannt ist, an den Router (der kennt ja die
Router) weiter an den OS X Server 10.0.2.10 ins VPN gehen. Wie
gesagt das 10.0.2.0/24 Netz ist beidseitig erreichbar vie VPN und
der Linux Server 10.0.2.11 kennt auch nur seine Default Route zum
Router 10.0.2.254 (= 10.0.1.254)
Hier noch die Routing Tabelle vom OS X Server
Nunja, vielleicht gibts da ja doch irgendwie ne Loesung, ich weiss
im Moment leidern icht mehr weiter und finde auch nichts passendes
im Internet dazu. Fuer nen Denkanstoss waere ich echt dankbar.
ahoi Till
so ich hoffe das es okay ist das ich diesen Artikel nochmal aus der Mottenkister
hochschiebe aber mein Problem scheint aehnlicher Natur zu sein, wenn ich denn
eins habe, nach langem rumsuchen und Versuchen hab ich leider bissher noch
keine so richtige Loesung gefunden, vielleicht kann mir hier jemand n Tipp geben
woran ich scheitere, das waere super (o:
Mein Problemchen:
Ich betreibe ein Netzwerk welches aus zwei Subnetzen besteht:
10.0.1.0/24
10.0.2.0/24
beide Netze koenen sich ueber den Router 10.0.1.254 erreich, alles
prima. Nun wollte ich einen Fernzugriff auf beide Netze realiesieren
via OpenVPN. Dazu habe ich OpenVPN auf dem OS X 10.4 Server im
10.0.2.0/24 Netzt, installiert, Zertifikate usw. erstellt und kann mich
auch aus dem Internet auch drauf verbinden. Das VPN Netz hat den
Adressbrereich 10.0.20.0/24 (siehe server.conf)
Ausserdem habe ich mal der Uebersicht halber das Netzwerk hier
mal aufgezeichnet:
Code:
# Server Config
# Port
port 1194
# TCP oder UDP?
proto tcp
# tun oder tap?
dev tun
tun-mtu 1492
mssfix
# Die Pfade zu den Keys und Zertifikaten.
pkcs12 /usr/local/etc/openvpn/keys/server.p12
# Der Pfad zu den Diffie-Hellmann Parametern.
dh /usr/local/etc/openvpn/keys/dh1024.pem
mode server
server 10.0.20.0 255.255.255.0
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt
push "route 10.0.2.0 255.255.255.0"
push "route 10.0.1.0 255.255.255.0"
keepalive 10 120
# Authentifizierungsmethode
auth SHA1
# Verschluesselungsmethode
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /usr/local/etc/openvpn/status.log
verb 3Ich hoffe die Routen sind so richtig?! Auf dem Server habe ich das
IP-Forwarding aktiviert. Im Router (10.0.1.254) habe ich noch die
zusaetzliche Route 10.0.20.0 255.255.255.0 mit dem OS X Server
als Router/Gateway 10.0.2.10 eingetragen. Wenn ich mich nun mit
dem Client via Internet auf den OpenVPN Server einwaehle erreiche
ich die beiden 10.0.20.0/24 10.0.2.0/24 Netze. Was zum Teufel nicht
zu erreich ist, ist das 10.0.1.0/24 Netz
Code:
# Client Config
client
float
dev tun
tun-mtu 1492
mssfix
proto tcp
remote router.xxxxx.de 1194
tls-remote server
pkcs12 client.p12
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3Eigentlich bin ich davon ausgegangen das Pakete vom VPN ueber
den OS X Server zum Router und dann ins 10.0.1.0/24 Netz geleitet
werden und die Rueckantwort da ja die Route bei den Clients im
10.0.1.0/24 Netz nicht bekannt ist, an den Router (der kennt ja die
Router) weiter an den OS X Server 10.0.2.10 ins VPN gehen. Wie
gesagt das 10.0.2.0/24 Netz ist beidseitig erreichbar vie VPN und
der Linux Server 10.0.2.11 kennt auch nur seine Default Route zum
Router 10.0.2.254 (= 10.0.1.254)
Hier noch die Routing Tabelle vom OS X Server
Code:
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Netif Expire
default 10.0.2.254 UGSc 14 26 1500 en0
10.0.2/24 link#4 UCS 3 0 1500 en0
10.0.2.10 127.0.0.1 UHS 0 2339 16384 lo0
10.0.2.11 0:40:63:cb:7f:ab UHLW 479 479 1500 en0 765
10.0.2.254 0:a0:57:4:c:5e UHLW 1057 5246 1500 en0 1036
10.0.2.255 link#4 UHLWb 1 1837 1500 en0
10.0.20/24 10.0.20.2 UGSc 1 0 1492 tun0
10.0.20.2 10.0.20.1 UH 2 0 1492 tun0
127 127.0.0.1 UCS 0 0 16384 lo0
127.0.0.1 127.0.0.1 UH 12 179664 16384 lo0
169.254 link#4 UCS 0 0 1500 en0Nunja, vielleicht gibts da ja doch irgendwie ne Loesung, ich weiss
im Moment leidern icht mehr weiter und finde auch nichts passendes
im Internet dazu. Fuer nen Denkanstoss waere ich echt dankbar.
ahoi Till
Hi,
ja klaro, habe ich ganz vergessen (o:
So schaut das ganze bei verbindung zum OpenVPN Server (= OS X Server) aus.
ahoi till
ja klaro, habe ich ganz vergessen (o:
Code:
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Netif Expire
default 192.168.1.1 UGSc 4 6 1500 en1
10.0.1/24 10.0.20.5 UGSc 0 0 1492 tun0
10.0.2/24 10.0.20.5 UGSc 0 0 1492 tun0
10.0.20.1/32 10.0.20.5 UGSc 0 0 1492 tun0
10.0.20.5 10.0.20.6 UH 3 0 1492 tun0
127 127.0.0.1 UCS 0 0 16384 lo0
127.0.0.1 127.0.0.1 UH 16 137106 16384 lo0
169.254 link#5 UCS 0 0 1500 en1
192.168.1 link#5 UCS 2 0 1500 en1
192.168.1.1 0:16:b6:d9:17:35 UHLW 5 21 1500 en1 1178
192.168.1.133 127.0.0.1 UHS 0 0 16384 lo0
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWb 0 15 1500 en1So schaut das ganze bei verbindung zum OpenVPN Server (= OS X Server) aus.
ahoi till
Ahoi,
aber genauso ist das, wenn ich den OpenVPN Dienst auf dem Server starte
sind die eintraege in der Routing Tabelle .1 und .2 sobald sich ein Client
einwaehlt werden wieder zwei unterschiedliche IP-Adresspaare angelegt.
Dann scheints wohl in Richtung Config zu gehen /o:
Hab jetzt mal das ganze was anders Probiert:
Server Config
Server Routing Tabelle
Client Config
Client Routing Tabelle
Routing ins 10.0.1.0/24 Netz geht trotzdem noch nicht )o:
OpenVPN Client: 10.0.20.101
OpenVPN Server: 10.0.20.254
VPN Netz: 10.0.20.0/24
mhhhh
aber genauso ist das, wenn ich den OpenVPN Dienst auf dem Server starte
sind die eintraege in der Routing Tabelle .1 und .2 sobald sich ein Client
einwaehlt werden wieder zwei unterschiedliche IP-Adresspaare angelegt.
Dann scheints wohl in Richtung Config zu gehen /o:
Hab jetzt mal das ganze was anders Probiert:
Server Config
Code:
# Server Config
port 1194
proto tcp
proto tcp-server
dev tap
tun-mtu 1492
mssfix
pkcs12 /usr/local/etc/openvpn/keys/server-cert.p12
dh /usr/local/etc/openvpn/keys/dh1024.pem
tls-server
mode server
# Server bekommt die Adresse 10.0.20.254
ifconfig 10.0.20.254 255.255.255.0
ifconfig-pool 10.0.20.100 10.0.20.199 255.255.255.0
ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt
client-to-client
push "route 10.0.2.0 255.255.255.0 10.0.20.254"
push "route 10.0.1.0 255.255.255.0 10.0.20.254"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /usr/local/etc/openvpn/status.log
verb 3Server Routing Tabelle
Code:
Internet:
Destination Gateway Flags Refs Use Mtu Netif Expire
default 10.0.2.254 UGSc 17 14 1500 en0
10.0.2/24 link#4 UCS 3 0 1500 en0
10.0.2.10 127.0.0.1 UHS 0 4455 16384 lo0
10.0.2.11 0:40:63:cb:7f:ab UHLW 7 7 1500 en0 876
10.0.2.254 0:a0:57:4:c:5e UHLW 14 9036 1500 en0 1146
10.0.2.255 link#4 UHLWb 1 3985 1500 en0
10.0.20/24 link#8 UC 2 0 1492 tap0
10.0.20.101 0:ff:7f:88:d6:d5 UHLW 10 10 1492 tap0 720
10.0.20.255 link#8 UHLWb 0 8 1492 tap0
127 127.0.0.1 UCS 0 0 16384 lo0
127.0.0.1 127.0.0.1 UH 12 271457 16384 lo0
169.254 link#4 UCS 0 0 1500 en0Client Config
Code:
# Client Config
client
float
dev tap
tun-mtu 1492
mssfix
proto tcp
proto tcp-client
remote server.meineadresse.de 1194
tls-remote server
pkcs12 office-cert.p12
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3Client Routing Tabelle
Code:
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 16.58.36.1 16.58.39.51 20
10.0.1.0 255.255.255.0 10.0.20.254 10.0.20.101 1
10.0.2.0 255.255.255.0 10.0.20.254 10.0.20.101 1
10.0.20.0 255.255.255.0 10.0.20.101 10.0.20.101 30
10.0.20.101 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.20.101 10.0.20.101 30
16.58.36.0 255.255.252.0 16.58.39.51 16.58.39.51 20
16.58.39.51 255.255.255.255 127.0.0.1 127.0.0.1 20
16.255.255.255 255.255.255.255 16.58.39.51 16.58.39.51 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.20.101 10.0.20.101 30
224.0.0.0 240.0.0.0 16.58.39.51 16.58.39.51 20
255.255.255.255 255.255.255.255 10.0.20.101 3 1
255.255.255.255 255.255.255.255 10.0.20.101 10.0.20.101 1
255.255.255.255 255.255.255.255 16.58.39.51 16.58.39.51 1
Default Gateway: 16.58.36.1
===========================================================================
Persistent Routes:
NoneRouting ins 10.0.1.0/24 Netz geht trotzdem noch nicht )o:
OpenVPN Client: 10.0.20.101
OpenVPN Server: 10.0.20.254
VPN Netz: 10.0.20.0/24
mhhhh
Moin,
also so wie es ausschaut komme ich nicht in VPN Netz von 10.0.1.0 Netz
hier mal die Ergbenisse von traceroute -n von 10.0.1.111
Und hier noch n tracroute -n vom Rechner 10.0.2.11
Auf dem OS X Server sollte aber keine Firewall aktiv sein, oder ob es am
ip-forwarding liegt auf dem Server? Da Aktiviert ists wohl nur Apple meint
das man selbst dafuer die Firewall aktivieren muss, was mir nich sooo
lieb waere daher bin ich schonmal auf der Suche ob ich da evtl. noch was
falsch gemacht haben koennte.
Ansonsten hab ich das ip-forwarding mit dem Befehl:
gesetzt. Oh man warum kann die Welt nich einfacher sein (o:
salut till
also so wie es ausschaut komme ich nicht in VPN Netz von 10.0.1.0 Netz
hier mal die Ergbenisse von traceroute -n von 10.0.1.111
Code:
iBook:~ sts$ traceroute -n 10.0.20.101
traceroute to 10.0.20.101 (10.0.20.101), 64 hops max, 40 byte packets
1 10.0.2.254 5.302 ms 13.780 ms 5.971 ms
2 * * *
3 * * *
4 *^C
iBook:~ sts$
iBook:~ sts$ traceroute -n 10.0.2.10
traceroute to 10.0.2.10 (10.0.2.10), 64 hops max, 40 byte packets
1 10.0.2.254 5.519 ms 7.115 ms 3.630 ms
2 10.0.2.10 6.766 ms 14.275 ms 11.814 ms
iBook:~ sts$Und hier noch n tracroute -n vom Rechner 10.0.2.11
Code:
debian:~# traceroute -n 10.0.20.101
traceroute to 10.0.20.101 (10.0.20.101), 30 hops max, 38 byte packets
1 10.0.2.10 1.837 ms 1.992 ms 1.155 ms
2 * * *
3 * * *
4 *
debian:~#Auf dem OS X Server sollte aber keine Firewall aktiv sein, oder ob es am
ip-forwarding liegt auf dem Server? Da Aktiviert ists wohl nur Apple meint
das man selbst dafuer die Firewall aktivieren muss, was mir nich sooo
lieb waere daher bin ich schonmal auf der Suche ob ich da evtl. noch was
falsch gemacht haben koennte.
Ansonsten hab ich das ip-forwarding mit dem Befehl:
Code:
sudo sysctl -w net.inet.ip.forwarding=1gesetzt. Oh man warum kann die Welt nich einfacher sein (o:
salut till