OpenVPN Layer 2, mit DHCP-Server aus VPN-Netz + IPv6-Routing

[Manuel22022018]

Hallo,

ich betreibe einen OpenVPN-Server auf Layer 2. Probehalber habe ich in der VPN-Konfiguration des Clients eine IPv4-Adresse hinzugefügt (172.30.0.22/255.255.0.0) die nicht im Netz 192.168.93.0/255.255.252.0 liegt, da es im VPN-Netz weitere Subnetze gibt. Die Adresse 172.30.10.20 konnte ich vom Client aus, durch den Tunnel ohne Probleme erreichen, obwohl dieses Subnetz auf dem VPN-Server selbst nicht erreichbar ist. Daher scheint der Layer 2 schonmal zu funktionieren.

Jetzt möchte ich, dass die Clients nach der Authentifikation die IP-Adresse von dem bestehenden DHCP-Server im VPN-Netz und nicht vom OpenVPN-Server selbst beziehen. Ich bräuchte also sowas wie ein server-bridge ohne IP-Pool.

Derzeit ist ein Verbindungsaufbau über IPv6 möglich, der Client bekommt auch eine IPv6-Adresse vom Router Advertisement Daemon (radvd) aus dem VPN-Netz. Jedoch funktioniert das Routing hier nicht.

Es connecten sich zur Zeit Windows/Linux-Clients im Mixbetrieb.

Jemand eine Idee wo mein Denkfehler ist und wie man die beiden o.g. Themen umsetzen/konfigurieren könnte?

Hier die Beispiel-Konfiguration für den Server:

Code: Alles auswählen

port		1194
proto		udp6								
dev		tap0
ca		keys/ca.crt
cert		keys/domain.de.crt
key		keys/domain.de.key
crl-verify	keys/crl.pem
dh		keys/dh8192.pem
server-bridge	192.168.93.23 255.255.252.0 192.168.94.1 192.168.94.254
push		"redirect-gateway def1 bypass-dhcp"
push		"dhcp-option DNS 192.168.93.1"
push		"dhcp-option DNS 192.168.93.2"
push		"topology subnet"
topology	subnet
route		192.168.93.0 255.255.252.0
keepalive	10 120
comp-lzo
user		openvpn
group		openvpn
persist-key
persist-tun
log-append	/var/log/openvpn/server01.log
verb		3

Hier die Beispiel-Konfiguration für den Client:

Code: Alles auswählen

client
dev			tap
dev-type		tap
proto			udp
port			1194
remote			xxx.xxx.xxx.xxx
script-security		2 
ca			ca.crt
cert			user@domain.de.crt
key			user@domain.de.key
comp-lzo		yes
nobind
auth-nocache
persist-key
persist-tun
user			openvpn
group			openvpn

[unitra]

Ist der IPv4 DHCP Server im gleichen Subnetz 192.168.93.0/22 ?

Edit. Ja ist er, gerade das Thema gelesen. Naja, dann ist da vermutlich was anderes was die Broadcasts verhindert im IP Subnetz.
Da hilft nur ein tcpdump am A-Ende wo das layer2 VPN terminiert (Server), oder irgendetwas am B-Ende (Client) verhindert die Broadcasts.

Was ist wenn du die Broadcast IP anpingst. Hier die 192.168.95.255?

Und so nebenbei ist das Problem für IPv4 oder IPv6? Und wenn das Routing nach dem Verbindungsaufbau nicht OK ist dann sollte man einen traceroute vom betroffenen Client in Richtung WAN machen und schauen wo die IP Packete hängen bleiben. An dem IP/IPv6 Hop wo IP Packete hängen bleiben, da ist das Problem zu suchen.

[pangu]

server-bridge 192.168.93.23 255.255.252.0 192.168.94.1 192.168.94.254

was passiert wenn du das hier leerläßt, also so?

Code: Alles auswählen

server-bridge	

[Manuel22022018]

Wenn ich es über den Network-Manager starte, bekommt der Client keine IP-Adresse zugewiesen und hat auch kein tap-Interface!

Wenn ich es mit sudo openvpn <configfile.ovpn> starte, bekommt er ein TAP-Device. Danach nochmal ein "sudo dhclient tap0" dann bekommt er auch eine IP-Adresse - Mega!

Ich habe das mit dem dhclient auch mit einem up-Skript automatisieren können, so dass mit sudo openvpn <configfile.ovpn> alles wie gewünscht startet. Nur dazu muss das Script auf dem Client hinterlegt werden, das ist doof.

Der Network-Manager kann damit auch nicht umgehen = Doppeldoof.

Wie bekomme ich das jetzt noch Network-Manager-Freundlich automatisiert, ohne dort ein Script ablegen zu müssen?

[unitra]

Dann ist das Thema mit IPv6 Routing und DHCP gelöst. Das mit dem NM, da würde ich bei den Applikationen erneut ein Artikel aufmachen. Ich glaube Du hast da bessere Chance auf Antworten wenn man das für den NM separiert in einem neuen Thread eröffnest.

Bitte Thema auf gelöst setzen im Topic.
Danke.