[Gelöst] OpenVPN 3 standorte

[radium]

Hallo Jungs,

ich habe daheim mir ein Alix 2D13 besorgt und erfolgreich ein Debian 7 installiert. Dieser fungiert als Router. Verbunden sind das WAN, LAN und WLAN. Gesichert durch Iptables. Das funktioniert auch alles bestens. Auch einen site to site OpenVPN Tunnel habe ich eingerichtet. Mein Router macht den OpenVPN Server, die gegenstelle den Client. Jetzt möchte ich noch einen 3. Standort via OpenVPN an mich binden. Leider schlugen die Versuche fehl. Mir fehlt an der stelle auch einfach die erfahrung mit OpenVPN.

Meine server.conf:

Code: Alles auswählen

dev tun
# Port
port 1194

ifconfig 10.8.0.1 10.8.0.2
secret static.key
verb 4
# verb 3 standard
cipher AES-128-CBC
route 172.17.4.0 255.255.255.0

Wie muss die Server conf aussehen damit ich noch einen 3. Standort anbinden kann?

[orcape]

Hi,
Du musst einen Ordner CCD (Client Config Directory) im Verzeichnis OpenVPN erstellen. Darin muss Du ein File mit iroute-Eintrag für jedes remote Netz definieren.
In der OpenVPN.conf dann ein Verweis darauf...
z.B. ccd /etc/openvpn/ccd
Übrigens, nichts gegen Debian, es gibt reine Firewall-OS, die für eine Router-Funktion einfacher zu händeln sind.
Schau Dir mal pfSense (FreeBSD) an und hier ein Tutorial, da kannst Du fast nichts verkehrt machen....
http://www.administrator.de/wissen/prei ... 49915.html
Läuft bei mir seit 2 Jahren ohne Probleme und kann ich nur empfehlen.
Gruß orcape

[feltel]

[x] für die Verwendung von pfSense auf dem Alix-Board

[Lolek]

Hallo Radium,

du hast in deiner server.conf die authentifizierung mit statischem Schlüssel gewählt. Wenn ich richtig informiert bin geht der Servermodus nur mit Zertifikaten. In dem Fall ist nur eine Verbindung von zwei Tunnelendpunkten möglich.

Du musst eine zweite Configdatei, z.B. server2.conf, unter /etc/openvpn ablegen. Dann wird der andere VPN- Partner mit dem zweiten VPN verbunden und du hast dann die Geräte tun0 und tun1.

ACHTUNG. Du musst in der zweiten Konfiguration einen anderen Port wählen, weil ein zweiter Prozess gestartet wird und der Port 1194 ja schon von deinem ersten Prozess belegt ist. Der zweite Prozess könnte z.B. 1195 verwenden.

[radium]

Danke an Lolek, das war der fehlende Hinweis. Funktioniert bestens. Vielen Dank!!!

AN: orcape

Ja ich kenn die pfSense. Sie ist auch wunderbar. Nur hat sie einen Nachteil, und das ist das Geraffel mit den PPTP und GRE paketen. Das funktiniert zumindest für meine anforderungen suboptimal. Deshalb bin ich umgestiegen auf debian.

[orcape]

@radium

Nur hat sie einen Nachteil, und das ist das Geraffel mit den PPTP und GRE paketen.

...da hättest Du mal genauer hinschauen sollen.
Die pfSense kann auch OpenVPN und IPSec, sonst hätte ich das gar nicht erst erwähnt, bei dem Ruf den PPTP mittlerweile genießt.
Außerdem kannst Du mit der pfSense noch zusätzlich Deine Zertifikate selber generieren.
Aber was soll's, muß jeder für sich entscheiden.
@Lolek

Du musst eine zweite Configdatei, z.B. server2.conf, unter /etc/openvpn ablegen. Dann wird der andere VPN- Partner mit dem zweiten VPN verbunden und du hast dann die Geräte tun0 und tun1.

Das funktioniert auch, ist aber für die Standortvernetzung untereinander kontraproduktiv, weil dann ohne einiges mehr an Firewallregeln und push-Route Kommandos die Standorte untereinander nicht kommunizieren können, weil Du auf dem Server die Tunnel routen musst.
Zum verbinden mehrerer Standorte mit dem Server reicht eine Server.conf, in der client-to-client, sowie die remoten Netze eingetragen sind.
Dann bedarf es noch der bereits erwähnten CCD-Files für jeden einzelnen remoten Standort, in denen ein iroute-Eintrag auf das remote Netz verweist und ein route-Eintrag jeweils auf's andere remote Netz.
Wenn Du die remoten Netze vom Server aus, bzw. umgekehrt erreichen möchtest und eine Verbindung der Standorte unerwünscht ist, dann ist allerdings die Nutzung von 2 getrennten Devices mit 2 unterschiedlichen Ports OK.
Gruß orcape