pbtraveller
Well-Known Member
Hallo,
versuche schon seit einer Weile OpenVPN im bridge mode auf meinem Gateway aufzusetzen, um von unterwegs auf das LAN zugreifen zu können. Das ganze sieht also so aus
LAN <-------- Gateway <-------internet------Client
Leider funktioniert es nicht. Mein Client (Mac) baut zwar eine Verbindung zum Gateway, auf dem OpenVPN installiert ist, auf. Der Client scheint auch eine lokale IP zu bekommen. Ich habe aber keinen Zugriff auf das LAN hinter dem Gateway.
Meine Konfiguration des Gateways sieht wie folgt aus:
/etc/rc.conf
Ifconfig gibt mir folgendes aus:
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 02:5f:c5:81:47:00
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
member: tap0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 10 priority 128 path cost 2000000
member: rl0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 5 priority 128 path cost 55
member: vr3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 4 priority 128 path cost 55
member: vr2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 3 priority 128 path cost 200000
member: vr1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 2 priority 128 path cost 55
tap0: flags=8942<BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
ether 00:bd:26:1f:00:00
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
Opened by PID 13861
Meine /usr/local/etc/openvpn/server-tap.conf sieht wie folgt aus:
;port 1195
proto udp
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/vpn-server.crt
key /usr/local/etc/openvpn/keys/vpn-server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server-bridge 192.168.2.1 255.255.255.0 192.168.2.100 192.168.2.150
;learn-address ./script
client-to-client
;duplicate-cn
keepalive 10 120
cipher AES-256-CBC # AES
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 9
Baue ich vom Client (hier verwende ich als gui Tunnelblick) eine Verbindung auf, erhalte ich bei einem ifconfig auf dem Client folgendes:
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 4a:41:fc:ca:c3:04
inet 192.168.88.100 netmask 0xffffff00 broadcast 192.168.88.255
inet 169.254.171.121 netmask 0xffff0000 broadcast 169.254.255.255
open (pid 421)
Versuche ich jetzt ein Gerät im LAN zu pingen, erhalte ich keine Antwort. tcpdump auf tap0 des Clients zeigt ausgehende Pakete. Auf tap0 des Gateways kommt jedoch nichts an. Hier kann ich jedenfalls mit tcpdum -i tap0 keine Pakete registrieren.
Was mach ich falsch? Hat jemand ne Idee?
Hat das was mit der zweiten Internetadresse (inet 169.254.171.121) zu tun, die mir auf dem client angezeigt wird?
pbtraveller
PS. Ja, ich habe die Firewall auf beiden Systemen zwischenzeitlich zum Testen mal ausgeschaltet. Hat aber auch nichts geholfen.
versuche schon seit einer Weile OpenVPN im bridge mode auf meinem Gateway aufzusetzen, um von unterwegs auf das LAN zugreifen zu können. Das ganze sieht also so aus
LAN <-------- Gateway <-------internet------Client
Leider funktioniert es nicht. Mein Client (Mac) baut zwar eine Verbindung zum Gateway, auf dem OpenVPN installiert ist, auf. Der Client scheint auch eine lokale IP zu bekommen. Ich habe aber keinen Zugriff auf das LAN hinter dem Gateway.
Meine Konfiguration des Gateways sieht wie folgt aus:
/etc/rc.conf
gateway_enable="YES"
pf_enable="YES"
cloned_interfaces="bridge0 tap0"
ifconfig_bridge0="inet 192.168.2.1/24 addm vr1 addm vr2 addm vr3 addm rl0 addm tap0 up"
ifconfig_vr1="up"
ifconfig_vr2="up"
ifconfig_vr3="up"
ifconfig_rl0="up"
ifconfig_tap0="up"
openvpn_enable="YES"
openvpn_configfile="/usr/local/etc/openvpn/server-tap.conf"
openvpn_if="tap"
openvpn_dir="/usr/local/etc/openvpn"
pf_enable="YES"
cloned_interfaces="bridge0 tap0"
ifconfig_bridge0="inet 192.168.2.1/24 addm vr1 addm vr2 addm vr3 addm rl0 addm tap0 up"
ifconfig_vr1="up"
ifconfig_vr2="up"
ifconfig_vr3="up"
ifconfig_rl0="up"
ifconfig_tap0="up"
openvpn_enable="YES"
openvpn_configfile="/usr/local/etc/openvpn/server-tap.conf"
openvpn_if="tap"
openvpn_dir="/usr/local/etc/openvpn"
Ifconfig gibt mir folgendes aus:
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 02:5f:c5:81:47:00
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200
root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
member: tap0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 10 priority 128 path cost 2000000
member: rl0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 5 priority 128 path cost 55
member: vr3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 4 priority 128 path cost 55
member: vr2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 3 priority 128 path cost 200000
member: vr1 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
ifmaxaddr 0 port 2 priority 128 path cost 55
tap0: flags=8942<BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
ether 00:bd:26:1f:00:00
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
Opened by PID 13861
Meine /usr/local/etc/openvpn/server-tap.conf sieht wie folgt aus:
;port 1195
proto udp
dev tap
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/vpn-server.crt
key /usr/local/etc/openvpn/keys/vpn-server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server-bridge 192.168.2.1 255.255.255.0 192.168.2.100 192.168.2.150
;learn-address ./script
client-to-client
;duplicate-cn
keepalive 10 120
cipher AES-256-CBC # AES
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
;log-append openvpn.log
verb 9
Baue ich vom Client (hier verwende ich als gui Tunnelblick) eine Verbindung auf, erhalte ich bei einem ifconfig auf dem Client folgendes:
tap0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 4a:41:fc:ca:c3:04
inet 192.168.88.100 netmask 0xffffff00 broadcast 192.168.88.255
inet 169.254.171.121 netmask 0xffff0000 broadcast 169.254.255.255
open (pid 421)
Versuche ich jetzt ein Gerät im LAN zu pingen, erhalte ich keine Antwort. tcpdump auf tap0 des Clients zeigt ausgehende Pakete. Auf tap0 des Gateways kommt jedoch nichts an. Hier kann ich jedenfalls mit tcpdum -i tap0 keine Pakete registrieren.
Was mach ich falsch? Hat jemand ne Idee?
Hat das was mit der zweiten Internetadresse (inet 169.254.171.121) zu tun, die mir auf dem client angezeigt wird?
pbtraveller
PS. Ja, ich habe die Firewall auf beiden Systemen zwischenzeitlich zum Testen mal ausgeschaltet. Hat aber auch nichts geholfen.
