OpenVPN : Clients untereinander nicht ansprechbar

[Daether]

Hallo an alle,
ich habe hier derzeit 2 Windows Kisten, welche sich an einem Debian OpenVPN-Server anmelden.
Den VPN-Server können beide anpingen. Von VPN-Server aus kann ich ebenso beide Clients erreichen.
Leider kann ich die Clientsuntereinander nicht erreichen.
Hat jemand einen Tipp woran dies liegen könnte ?

Serverconfig :

Code: Alles auswählen

dev tap
proto udp
port 16664

mode server

server 192.168.6.0 255.255.255.0

ifconfig-pool-persist /etc/openvpn/ipp.txt

dh /etc/openvpn/zertifikate2/dh1024.pem
ca /etc/openvpn/zertifikate2/ca.crt
cert /etc/openvpn/zertifikate2/ankh.crt
key /etc/openvpn/zertifikate2/ankh.key

push "route 192.168.6.0 255.255.255.0"

cipher AES-256-CBC

user nobody
group nogroup
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3

Client:

Code: Alles auswählen

client 

dev tap

remote xxx.xxx.xxx.xxx

proto udp

tls-client
ca C:\\Programme\\Openvpn\\config\\ca.crt
cert C:\\Programme\\Openvpn\\config\\client7.crt
key C:\\Programme\\Openvpn\\config\\client7.key
port 16664
cipher AES-256-CBC
comp-lzo
verb 3

Server ( ip_forwarding ):

Code: Alles auswählen

cat /proc/sys/net/ipv4/ip_forward
1

[pluvo]

Hi!

Deine Konfiguration solltest du nochmal durchschauen. Was soll das am Ende werden? Ein Ethernet-Tunnel (Bridging) oder ein gerouteter IP-Tunnel (Routing)?

• http://openbook.galileocomputing.de/lin ... 68dcfd6c5a

Du suchst vermutlich:

Code: Alles auswählen

client-to-client

mfg pluvo

[Daether]

Hallo pluvo,
folgende Ausgangslage habe ich :
Eine Datenbank/Webserver an einem Standort A ( hinter einem normalen Router, leider kein Portforwarding möglich ).
Ein paar Mitarbeiter unseres Standortes B sollen nun auf diesen Webserver zugreifen können.
Da auf der Gegenseite kein durchschleusen der Anfragen möglich ist, war meine Idee, bei Standort B einen VPN-Server aufzubauen und den Webserver bei Standort A dauerhaft als Client mit diesem zu verbinden.
Nun sollen sich Mitarbeiter hier in unserem Netzwerk per VPN darauf verbinden können und per VPN-Netzwerk darauf zugreifen dürfen.

Generell soll also nur eine Verbindung von tap zu tap möglich sein.

Wenn ich es richtig verstehe wird aber bei client-to-client nicht die Tap-devices angesprochen, sondern reicht die Anfragen weiter an die Ethernetschnittstellen.
Ich möchte allerdings nur eine End to End Verbindung. ( Hoffe das ist richtig ausgedrückt )

[Daether]

Hallo nochmal,
ich habe nun auch die Config über client-to-client gestestet, leider auch ohne Erfolg. Vom OpenVPN-Server kann ich den Webserver erreichen, von anderen aus nicht.
Auch ein Routing von meiner internen IP zum VPN-Server funktioniert nicht.

Kann es sein, dass das IP_forwarding nicht übernommen wird ?

[pluvo]

Hi!

Nur die Mitarbeiter mit einem OpenVPN-Tunnel sollen am Standort-B auf den Server (am Standort A) zugreifen können, richtig?
Dann probiere doch einfach einen gerouteten IP-Tunnel (Routing) aus. (What is the difference between bridging and routing?)

server.conf

Code: Alles auswählen

port 16664
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

client.conf

Code: Alles auswählen

client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 16664
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

• OpenVPN-Server hat die Adresse 10.8.0.1
• Client1 bekommt die Adresse 10.8.0.6
• Client2 bekommt die Adresse 10.8.0.10
• usw...

mfg pluvo

[Daether]

Moin,
super, so klappt es.
Danke dir!