Hallo,
ich habe mir einen OpenVPN Server auf den Pi gesetzt. Pi ist die 192.168.2.2 (DHCP und DNS Server hier), Router ist die 2.1 an diesem kann ich aber kaum Einstellungen vornehmen (wie stat. routen). Das VPN Subnetz ist die 10.8.0.0
Eine Verbindung vom client läuft.
Ich kann vom client auf den Raspi zugreifen, mit hostnamen (interessanterweise) und anpingen über ips 10.8.0.1, 192.168.2.2
Niemanden aus dem server-subnetz
Der Raspi kann aber nur sich selbst anpingen, nicht den client (10.8.0.6) - strange?
Im 1. Schritt möchte ich, dass clients auf das Subnetz hinter dem VPN Server zugreifen können. Dazu muss ich laut OpenVPN-Howto in der Server config
'push route SERVER-SUBNET SUBNETMASK' (erledigt) - außerdem müssen das Server-Subnet wissen, dass es über den VPN-Server routet.
Das würde sich über eine statische Route im Router lösen lassen - kann ich aber nicht machen, da der Speedport hier zu beschränkt ist.
Ich hab Hinweise gesehen, dass es über IPtables und MASQERADE funktioniert - da bin ich aber nicht durchgestiegen, und die einzelnen Szenarien, die ich gefunden haben , sind von meinen abgewichen. Ich wäre über eine Erklärung was genau mit welchem Befehl passiert sehr dankbar!
Im 2. Schritt möchte ich die Clientconfig (von client1) auf einen DD-WRT Router in einem anderen Netzwerk stellen. Dort ist er aber auch nur als Hub / WLAN-AP zuständig.
Dafür ist dort der Router eine Fritzbox, lässt also mehr Konfiguration zu.
Dann sollen Maschinen aus Clientsubnetz auf Serversubnetz Zugriff haben und andersrum.
Im 3. Schritt sollen die Zugriffe dann auch noch per hostnamen funktionieren. Ich bin mir nicht ganz sicher wie das zu bewerkstelligen ist. Im Server-Netz habe ich einen DNS Server, der das dort übernimmt. Den könnte ich pushen. Aber würden dann nicht alle DNS Anfragen vom Client übers VPN gehen? Und wie bringe ich das den "Client-Nachbarn" bei? - Ganz zu schweigen von Hosts im Clientnetz (feste könnte ich im DNS eintragen, solange die VPN-Verbindung und das Subnetz geroutet geht das evtl. Aber evtl. gibt elegantere Wege? . (und später 2. Clients die aufs Clientnetz wollen? - Würde per DNS im Servernetz auch gehen)
Zusätzlich will ich noch andere Clients (Client2) haben, die sich per VPN einwählen, und idealerweise auf beide Subnetze Zugriff haben.
(Wenn wir ganz fleißig sind überlegen wir auch noch wie man client3 nur Zugriff aufs Serversubnet und client4 nur Zugriff auf den Pi gewährt.)
Hier meine server.conf (kommentierte sind teilweise schon Vorbereitung für Schritt 2 und weitere)
;local a.b.c.d
port 1196
proto udp
dev tun
;dev-node MyTap #Auf Windows Server auskommentieren
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# Sage Clients, Ips aus Subnet über VPN zu routen
push "route 192.168.2.0 255.255.255.0"
;client-config-dir ccd
# Sage anderen Clients, Ips aus Subnet(Client1) über VPN zu routen
# in ccd muss 'client1-file' liegen in dem 'iroute 192.168.178.0 255.255.255.0' steht
; route 192.168.178.0 255.255.255.0
#ALLEN Traffic übers VPN leiten
;push "redirect-gateway"
client-to-client
keepalive 20 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
;log openvpn.log
log-append /var/log/openvpn.log
verb 6
;mute 20
#tls-server
Alles anzeigen
und client1.ovpn
client
dev tun
;dev-node MyTap
proto udp
remote MEINE.DDNS.URL 1196
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;mute-replay-warnings
ca ca.crt
cert client.crt
key client.key
;ns-cert-type server
;tls-auth ta.key 1
;cipher x #Wie server
comp-lzo #Wie Server
verb 3
;mute 20
pull
Alles anzeigen