openVPN-Tunnel + Routen, aber wie?! :-S

[admiral2006]

Hallo an alle Linuxfreunde

Habe openVPN auf meinem rootServer erfolgreich installieren können.
Der Tunnel wird aufgebaut und Server sowie Client können sich problemlos anpingen.

Nun möchte ich diverse treue Dienste meines Rootservers auch in meinem Lan verfügbar machen, sprich aus meinem Lan heraus auf den VPN-Tunnel zugreifen.

Nun komm ich aber so gar nicht klar mit routen und wie ich sie definieren muss

Zur Veranschaulichung hier mal ein Schema des Netzes sowie dem VPN:

VPN Client PC (Suse)
eth0 : 192.168.2.16 mask 255.255.255.0 default gw 192.168.2.110
tun0: 192.168.1.2 mask 255.255.255.255

VPN Server (RootServer)
tun0: 192.168.1.1 mask 255.255.255.255

-----------------------------------------------------------------------
[VPN CLIENT PC] --> IP:192.168.2.16
|
[ROUTER im LAN] --> IP: 192.168.2.110
|
[VPN TUNNEL] --> tun0: 192.168.1.2
|
[INTERNET]
|
[VPN TUNNEL] --> tun0: 192.168.1.1
|
[VPN SERVER]
-----------------------------------------------------------------------

Wie muss ich die Routen am VPN-Client erstellen, sodass auch andere Rechner aus meinem LAN über den VPN-Client auf den VPN-Server können, ohne auf jedem Rechner die openVPN-Client-Software installieren zu müssen.

Wie Ihr seht, komm ich mit der einfachsten Aufgabe, zwei kleine Netze zu routen nicht klar ....

Vielen Dank im voraus an alle!

[Duff]

Du musst auf jeden Fall dem VPN-Client noch die Route für das Netz 192.168.1.0 setzen, weil das ja das Netz vom Tunnel ist.

[admiral2006]

Also am VPN-Client ist das IP-Routing aktiviert.

Die SUSE-Firewall ist deaktiviert, somit sollte diese kein Hindernis darstellen.

Hier mal der Auszug aus der Routentabelle mit aufgebautem VPN-Tunnel zum Server

VPN-Client
eth0: 192.168.2.16 255.255.255.0
gw : 192.168.2.110
tun0: 192.168.1.2 255.255.255.255

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.2.110   0.0.0.0         UG    0      0        0 eth0

Wenn ich nun von einem weiteren Rechner
PC-2
eth0: 192.168.2.17
gw: 192.168.2.16

ein ping auf den Tunnelanfang, also die des VPN-Clients absetze (192.168.1.2)
funktioniert dies ohne Probleme, auch ohne extra definierte Routen.

Will ich aber das VPN-Tunnelende, sprich den Server anpingen (192.168.1.1), so endet dieser ping im nirvana :ugly:

Auch die zusätzlichen routen am VPN-Client:
z.B. : route add -net 192.168.1.0 netmask 255.255.255.0 dev tun0
oder route add -net 192.168.1.0 netmask 255.255.255.255 dev tun0
brachten kein Erfolg

[chroiss]

hi.

was du auf jeden fall brauchst ist eine rückroute auf deinem rootserver.

Code: Alles auswählen

route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.2 dev tun0

auf dem vpnclient 1 muss ipforwarding aktiviert werden.

du kannst dir jetzt aussuchen ob du bei jedem neuen pc der auch ins tunnelnetz soll , das gateway auf den vpn_client 1 ( 192.168.2.16 ) setzt , oder ob du das gw auf deinen router zeigen lässt ( 192.168.2.110 ). im letzteren fall musst du dazu aber noch eine route auf deinem router setzen .. und zwar

Code: Alles auswählen

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.2.16 dev *was auch immer*

gruss chroiss



nachtrag:
alternativ zur rückroute könntest du die ippakete auch maskieren, macht man aber im lan eigentlich nicht (unsauber)

Code: Alles auswählen

auf 192.168.2.16
iptables -A POSTROUTING -t nat -o tun0 -j MASQUERADE

[admiral2006]

Vielen DANK Chroiss,

das Hinzufügen der Rückroute auf dem Root war genau das, was fehlte!

vielen vielen Dank für die schnelle Hilfe