openVPN Fritz Box Netzwerk zugängig machen

[GamezZz]

Hallo,

ich wollte mich von außen in mein Heimnetzwerk über openVPN einwählen, das ich Zugriff auf mein Heimnetz habe.

Ich habe den openVPN Server bereits eingerichtet. Ich kann vom Client den Server anpingen und vom Server auch den Client.
Aber wenn ich zum Beispiel die Frit.Box anpingen möchte 192.168.178.1 oder einen Drucker, dann antworten die Geräte nicht.
Serverbetriebssystem Linux Debian 64 Bit Squeeze

Config:

Code: Alles auswählen

local 192.168.178.16
port 1194
proto udp
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

dh /etc/openvpn/config/dh2048.pem
ca /etc/openvpn/config/ca.crt
cert /etc/openvpn/config/openVPN.crt
key /etc/openvpn/config/openVPN.key

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 172.16.123.0 255.255.255.0
ifconfig 172.16.123.1 255.255.255.0
#ifconfig-pool 172.16.123.20 172.16.123.100
ifconfig-pool-persist /var/log/openvpn/ipp.txt
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)
# ----------------------------------------------

# (if needed) client-config-dir ccd

push "route 192.168.178.0 255.255.255.0" 
push "redirect-gateway"
#push "dhcp-option DNS 192.168.1.10"
#push "dhcp-option WINS 172.20.0.100"

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
verb 3

Und die Client Config Datei:

Code: Alles auswählen

client
dev tun

proto udp
remote  xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\OpenVPN\\data\\config\\ca.crt"
cert "C:\\OpenVPN\\data\\config\\pc1.crt"
key "C:\\OpenVPN\\data\\config\\pc1.key"

comp-lzo
verb 3

[Cae]

Der Server braucht eine Route vom 172.16.0.0/12-er Netz (VPN) in das 192.168/16-er Netz (physikalisch). Und er muss IPv4-Pakete weiterleiten können.

Code: Alles auswählen

# iptables -A FORWARD -i tun0 -o eth0 -s 172.16.0.0/12 -d 192.168.0.0/16 -j ACCEPT
# iptables -A FORWARD -i eth0 -o tun0 -s 172.16.0.0/12 -d 192.168.0.0/16 -j ACCEPT
# echo '1' > /proc/sys/net/ipv4/ip_forward

Das Ganze steht übrigens auch im OpenVPN-Wiki.

Gruß Cae

[GamezZz]

Hallo,

genau das gleiche hatte ich bereits auch schon ausprobiert.

Der Server mit der IP Adresse 172.16.123.1 antwortet.
Alle anderen Geräte mit den IP Adressen 192.168.178.*** antworten nicht.

[unitra]

Routing. "Longest Prefix Matches".

Wenn deine Default Route NUR in Richtung Interface Tunnel zeigt dann kann man auch nichst mehr im LAN erreichen.
Alle IP Pakete werden dann über den Tunnel geschickt ohne Ausnahme.
Ich weiss zwar nicht wie OpenVPN das verwaltet, aber das ist hier das Problem, zumindest den Symptomen nach was ich gelesen habe.

Die Route mit der längsten Netzmaske kommt zuerst, sobald ein IP Packet den Routing Prozess durchläuft, und NICHTS zutrifft in der Routing Tabelle, wir dann die "default route" zugreifen.

Man müsste das OpenVPN so konfigurieren dass es eine spezielle Route für das Zielnetzwerk in der Routing Tabelle setzt, und nicht die Default Route ändert.

Pseudocode der Routing Tabelle nachdem der VPN Tunnel aufgebaut wurde:

Enternes Netzwerk (1.1.1.0/24) -> Route alles über das Tunnel Interface
Lokales LAN (2.2.2.0/24) -> Route alles über mein Lokales Gateway

[gbotti]

Ich hab das über ne zusätzliche Route in der Fritz!Box gelöst.

"Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Routen -> Neue Route"

IP-Adresse: 172.16.123.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.16
Route aktiv: ja

Die Fritz!Box / die Geräte im Netzwerk wissen sonst nicht, wo das Netzwerk 172.16.123.X zu erreichen ist und da bei dir das default-Gateway auch die FB sein sollte, ist das am einfachsten.