openVPN - Routing

[JFoX]

Hallo Gemeinde,
ich habe mir gerade einen openVPN-Server aufgesetzt, das funktioniert alles auch ganz gut, nur habe ich ein Problem mit dem Routing.

Internes Netzwerk(192.168.0.0/24):
Router (FritzBox): 192.168.0.1
Fileserver: 192.168.0.2
openVPN-Server: 192.168.0.101

VPN-Netzwerk:
Alle Clients die über VPN kommen, sollen im Netz 10.10.10.0/24 sein.

Die VPN-Verbindung funktioniert schonmal, jedoch habe ich wie gesagt ein Problem. Wenn ich

Code: Alles auswählen

ping 192.168.0.1

Bekomme ich eine antwort.
Wenn ich dann auf den Router drauf möchte, http://192.168.0.1 geht das nicht. Mir scheint das ich zwar das 192.168.0.0 Netz pingen kann, aber die mich nicht (10.10.10.0).

Also habe ich auf meine FritzBox eine statische Route eingetragen:
Netzwerk: 10.10.10.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.0.101

Damit funktioniert das auch nicht. IP-Forwarding auf dem VPN-Server ist aktiviert.

Code: Alles auswählen

echo "1" > /proc/sys/net/ipv4/ip_forward

Hier ist mal noch meine server.ovpn falls nötig:

port 1194
proto udp
mode server
tls-server
dev tun
server 10.10.10.0 255.255.255.0
ca /etc/ssl/ca.crt
cert /etc/ssl/certificate/server.crt
key /etc/ssl/private/server.key
dh /etc/ssl/dh1024.pem
auth SHA1
cipher aes-256-cbc
comp-lzo
user nobody
group nogroup
persist-key
persist-tun

verb 5

Und hier noch der Client:

tls-client
pull
dev tun
proto udp
remote xxx.xxx.xx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
cipher AES-256-CBC
comp-lzo
auth SHA1
verb 3
mute 20

Hat jemand einen Tipp für mich, was ich da übersehen heben könnte?

[KnightRider]

Bekomme ich eine antwort.
Wenn ich dann auf den Router drauf möchte, http://192.168.0.1 geht das nicht. Mir scheint das ich zwar das 192.168.0.0 Netz pingen kann, aber die mich nicht (10.10.10.0).

mit der option client-to-client kann man von VPN client zu VPN client pingen. Vielleicht muss das gesetzt sein, um vom LAN zum VPN zu pingen...

[JFoX]

Habe in meiner server.conf was vergessen:

Code: Alles auswählen

push "route 192.168.0.0 255.255.255.0"

Nun funktioniert das ganze Muss sagen ging recht flott das ganze, wenn man den dummen Fehler mal weg lässt, dauert der ganze Spass keine 15 Minuten

Danke.

[KnightRider]

Habe in meiner server.conf was vergessen:

Code: Alles auswählen

push "route 192.168.0.0 255.255.255.0"

Nun funktioniert das ganze Muss sagen ging recht flott das ganze, wenn man den dummen Fehler mal weg lässt, dauert der ganze Spass keine 15 Minuten

Danke.

aber du konntest ohnt "push route ..." vom VPN auf dien Lokales Netz pingen?

[JFoX]

Jup, ping hat funktioniert... aber ich habe keine Verbindung hin bekommen, das hat mich anfangs auch etwas stutzig gemacht.

Beispiel:
ping 192.168.0.1 (Fritzbox) hat geklappt.
http://192.168.0.1 ging nicht.

Also habe ich in der Server.conf mit push route das 192.168.0.0 Netz bekannt gegeben.
somit ist theoretisch sicher gestellt das VPN->LAN geht. Nun fehlt aber noch LAN->VPN und das habe ich mit Static-Route in meiner FritzBox gemacht.

[Duff]

Ist das Netz vom VPN-Client ein anderes als auf dem VPN-Server?

[JFoX]

Nein das ist das selbe.

Ich bin gerade aber auf ein weiteres Problem gestoßen. Die vmware-server-console läuft default unter Port 902. Da ich ja via VPN gehe ist das an sich sehr bequem, jedoch läuft das über TCP und mein VPN ist UDP. Das Problem ist, das meine Verbindung dann einen totalen Herzkasper bekommt und stirbt. Es dauert dann gute 10min ehe ich wieder rein komme. Wie trivial ist es bei mittleren Datenmengen und DSL 16000 das ganze über TCP laufen zu lassen? Wäre halt super wenn ich auch die vmware-server-console nutzen kann.