Client im Netzwerk hinterVPN erreichen

[gnude]

Hallo
ich habe ein VPN Netzwerk mit folgender Konfiguration:
Das Firmennetzwerk besitzt einen Router, der den Internetzugang regelt
Dazu gibt es noch einen VPN Server, der für die Einwahl zuständig sein soll.
Im Router habe ich eine Portweiterleitung auf den VPN Server eingerichtet,
so das ich diesen von aussen erreichen kann.
Die IP Adressen im Firmennetz sind nach folgenden Schema aufgebaut:
192.168.1.x
Der VPN Server hat die IP 192.168.1.40 und folgende server.conf:

Code: Alles auswählen

dev tun
ifconfig 192.168.1.40 10.8.0.1
secret /etc/openvpn/static.key
push "route 192.168.1.0 255.255.255.0"
port 10000
comp-lzo

Die Firma hat die Feste IP Adresse 83.160.120.85 so das ich die Firma von Aussen erreichen kann.

Das Netzwerk in der Aussenstelle verfügt ber einen normalen Internetanschluss.
Auch hier steht erstmal ein Router, der das Internet für die Computer dort verfügbar macht.
Hier sind die Adressen nach folgenden Schema aufgebaut:
192.168.168.x
Dort habe ich jetzt auch einen Linux Rechner eingerichtet, und OpenVPN installiert.
Die Config hier sieht so aus:

Code: Alles auswählen

remote 83.160.120.85 10000
dev tun
ifconfig 10.8.0.1 192.168.1.40
secret /etc/openvpn/static.key
comp-lzo

Wenn ich auf dem Client nun route add 192.168.1.20 192.168.1.40
eingebe, kann ich von der Zweitgstelle auch andere Rechner im Firmennetz erreichen.

Das klappt alles.

Nun folgendes Problem:
In der Zweigstelle steht ein Rechner der vom Firmennetzwerk aus erreicht werden muss.
Er bietet auf einen Port nen Dienst an, den ein Mitarbeiter aus dem Hauptnetz abrufen muss.
Wie kann ich das einrichten, das ich den Rechner durch den VPN durch ansprechen kann?

[syssi]

Was passiert, wenn du im Hauptsitz eine Route hinzfuegst fuer das Subnet der Nebenstelle? So dass dieses Netz nicht ueber die Default-Route geroutet wird sondern ueber das VPN?

Gruss syssi

[gnude]

Das habe ich Probiert,
aber er findet das Gerät im anderen Netz trotzde nicht.
Muss ich auf dem VPN Gateway in der Aussenstelle auch noch eine Route hinzufügen?

[Alternativende]

Hallo,
folgendermaßen sieht es auf meinem Server aus:

Code: Alles auswählen

dev tun
tun-mtu 1500
proto tcp-server
port 443
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.0.82.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
keepalive 10 60
status-version 1
status /var/log/ovpnserver.log 30
cipher BF-CBC
comp-lzo
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3

Fehlt dir da evtl. die tls-server Variable und auf der Client Seite tls-client?

[gnude]

Hallo
ich musste jetzt den VPN Client austauschen,
und jetzt erhalte ich auf dem VPN Server folgende Fehlermeldung:
UDPv$ [EHOSTUNREACH]: No Route to host (code=113)
Aber auf dem Client, den ich eingerichtet habe kann ich auf das Firmennetz zugreifen.

[Alternativende]

Hast du die Weiterleitung von deinem Router vielleicht nur für TCP geschlatet?

[gnude]

Nein,
der Router leitet beide Pakete von dem Port weiter, TCP und UDP.
Interessant ist... ich hab den alten Rechner abgezogen, mit Debian Lenny und vorher das /etc/openvpn Verzeichnis kopiert,
und dann auf Debian Testing übertragen.
Hier kommt es beim starten schon zu einer Fehlermeldung, die wohl damit zusammenhängt, das ein Parameter bei dem OpenVPN unter Testing gesetzt werden muss.
Aber ich komme in das Netzwerk rein und kann "normal" Arbeiten.

Jetzt zurück in der Firma sehe ich die ganzen Fehlermeldungen.
Hinweis: Ich habe openvpn per Hand gestartet mit
openvpn --config /etc/openvpn/openvpn.conf
so das jetzt die ganzen Fehlermeldungen auf dem Bildschirm erscheinen.
In der Firma habe ich an der ganzen Konfiguration nichts geändert.

Vorher hat auch alles prima geklappt, und ich bekamm immer angezeigt, wenn sich der entfernte VPN-Client mit dem Firmennetz verbunden hat.
Auch den Inhalt der Routing-Tabelle auf dem VPN Client in der Niederlassung habe ich richtig übernommen.

Ideen?