Openvpn Route an Rechner im Servernetzwerk übergeben

[Tallan]

Hallo zusammen,

ich habe habe zwei Netzwerke nennen wir sie A und B.

Netzwerk A hat einen Server der sich per openvpn Client einwählt.
Nezwerk B hat einen Server der als openvpn Server fungiert und die verbindung von A annimmt.

Ich möchte jetzt von Server A auf Rechner im Netzwerk von Server B zugreifen, habe die entsprechenden routen auch gesetzt um die Clients im B Netz zu erreichen.
Allerdings benötigen die Clients im B Netz eine route um auf Anfragen von Server A zu antworten.
Bei einem testen mit manueller Ergänzung der Route auf dem Client im B netz funktionierte alles wie gewünscht,
hierzu musste ich abgesehen von den entsprechenden einträgen in openvpn skript den server von Netzwerk B als Gateway für Anfragen des openvpn Netzwerks angeben.
Beispiel : route add openvpnip mask 255.255.255.0 ip_des_openvpnserver_im_b_netzwerk

gibt es eine möglichkeit diese route dem client in netzwerk b zu übergeben?


A <----Openvpn ---> B <-> Client_von_B

Client_von_B benötigt den routeneintrag damit der auf Anfragen von A über B antworten kann

[mistersixt]

Du kannst dem Server sagen, welche lokalen Routen er bei einem Connect anlegen soll und kann per "push" auch Rourten an den OpenVPN-Client weiterreichen, hier ist ein Erklärung zu diesem Thema:

http://www.secure-computing.net/wiki/in ... PN/Routing

Ansonsten einfach nochmal nach "OpenVPN push route" googlen.

Gruss, mistersixt.

[axelK]

Hallo mistersixt bzw. Hallo zusammen,

ich möchte keinen neuen Thread eröffnen, weil mein Thema hier anknüpft und ich mir den LINK zum OpenVPN-Routing gerade mal durchgelesen habe.
Im Grunde passiert bei mir gerade genau das hier:

If you fail to add this route, here is what would happen if a VPN client (for example, 10.8.0.6) wanted to send traffic to 10.10.2.20:
1) The vpn client sends traffic to 10.10.2.20, with a source address of 10.8.0.6
2) The vpn server (10.8.0.1 and 10.10.2.10) receives the traffic, has IP forwarding enabled, and passes the traffic to 10.10.2.20
3) 10.10.2.20 gets it and tries to respond to 10.8.0.6 but has no entry in its routing table
4) Because 10.10.2.20 has no route for 10.8.0.6, it sends the traffic to its default gateway which is 10.10.2.1
5) 10.10.2.1 checks its routing table, has no route for 10.8.0.6, and sends the traffic to its default gateway which is likely its ISP
6) The ISP ignores it, because it is a RFC 1918 ip (aka lan only)

Ich habe in beiden Netzwerken im jeweiligen Standard-Gateway jedoch Routen zum entfernten LAN/VPN-Netz gesetzt, da auch ich jeweils einen extra Server für OpenVPN habe. Auf allen Rechnern ist IPForwarding aktiviert, sei es auf dem OpenVPN-Server in der Firma IPEnableRouter=1 oder net.ipv4.ip_forward=1 in der Zweigstelle.
Mit client-config-dir und iroute habe ich jetzt zuletzt getestet und auch da kann ich von einem Client aus der Zweigstelle nicht zur Firma pingen. Vom OpenVPN-Gateway in der Zweigstelle funktioniert PING zu allen Rechnern in der Firma.

Vllt. sind noch mehr Infos notwendig. Reiche ich gerne nach und würde mich freuen, wenn sich erstmal überhaupt jemand sich meinem Problem annehmen mag. Besten Dank!!

Gruß
axel

[axelK]

Konnte nun mein Anliegen selbst lösen. Folgendes schien zu fehlen:

Code: Alles auswählen

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Wieso ist MASQ an dieser Stelle notwendig?