6
Zugriff auf das LAN hinter dem VPN-Server unter Linux (Debian)
Hallo Leute,
irgendwie komme ich nicht weiter. Mit Sicherheit ist es nur eine Kleinigkeit.
Die Verbindung zum VPN-Server klappt. Die Server-IP im Server-LAN ist anpingbar, alle anderen IP's leider nicht.
Hier meine Konfiguration:
- Forwarding auf dem Server ist aktiv
- MASQUERADE auf dem Server ist aktiv: iptables -t nat -I POSTROUTING -s 10.0.0.0/16 -o net0 -j MASQUERADE
- Firewall testweise abgeschaltet
10.0.0.0/16: Client-LAN
10.102.0.0/16: LAN hinter dem VPN-Server
10.0.10.10: Client-IP
10.102.2.1: Server-IP
Config:
local XX.XX.XX.XX (WAN IP)
dev tun
port 1194
proto tcp
tls-server
server 10.100.100.0 255.255.255.0
topology subnet
push "topology subnet"
route 10.0.0.0 255.255.0.0
daemon
client-to-client
client-config-dir ccd
cipher AES-256-CBC
auth SHA1
ca ca.crt
cert server.crt
key server.key
dh dh.pem
script-security 3
keepalive 10 120
reneg-sec 300
persist-key
persist-tun
user openvpn
group nogroup
status /var/log/openvpn/status.log
verb 4
Die Datei ccd/client1.conf
iroute 10.0.0.0 255.255.0.0
push "route 10.102.0.0 255.255.0.0"
Es sieht nach meinem Verständnis richtig aus.
Ich habe da wohl einen Denkfehler.
Danke für jeden Tipp!
Gruß
Andre
irgendwie komme ich nicht weiter. Mit Sicherheit ist es nur eine Kleinigkeit.
Die Verbindung zum VPN-Server klappt. Die Server-IP im Server-LAN ist anpingbar, alle anderen IP's leider nicht.
Hier meine Konfiguration:
- Forwarding auf dem Server ist aktiv
- MASQUERADE auf dem Server ist aktiv: iptables -t nat -I POSTROUTING -s 10.0.0.0/16 -o net0 -j MASQUERADE
- Firewall testweise abgeschaltet
10.0.0.0/16: Client-LAN
10.102.0.0/16: LAN hinter dem VPN-Server
10.0.10.10: Client-IP
10.102.2.1: Server-IP
Config:
local XX.XX.XX.XX (WAN IP)
dev tun
port 1194
proto tcp
tls-server
server 10.100.100.0 255.255.255.0
topology subnet
push "topology subnet"
route 10.0.0.0 255.255.0.0
daemon
client-to-client
client-config-dir ccd
cipher AES-256-CBC
auth SHA1
ca ca.crt
cert server.crt
key server.key
dh dh.pem
script-security 3
keepalive 10 120
reneg-sec 300
persist-key
persist-tun
user openvpn
group nogroup
status /var/log/openvpn/status.log
verb 4
Die Datei ccd/client1.conf
iroute 10.0.0.0 255.255.0.0
push "route 10.102.0.0 255.255.0.0"
Es sieht nach meinem Verständnis richtig aus.
Ich habe da wohl einen Denkfehler.
Danke für jeden Tipp!
Gruß
Andre
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1412202577
Url: https://administrator.de/contentid/1412202577
Printed on: April 24, 2024 at 05:04 o'clock
6 Comments
Latest comment
Moin,
hast du die statischen Routen in deinem Router zum VPN-Server gesetzt?
VG
hast du die statischen Routen in deinem Router zum VPN-Server gesetzt?
VG
Auf dem Server/Router sieht es so aus:
Ich dachte die Zeile
besagt dann dass die Pakte des Client-Netzes 10.0.0.0/16 durch den Tunnel gehen sollen und nicht an den Default-Gateway geschickt werden?
In Tutorials seht, man muss die statische Route setzen, und zwar mit der LAN-IP des VPN-Servers als Gatway.
Der Open-VPN-Server läuft bei mir allerdings auf dem Router selbst und hat nur die WAN-IP und keine LAN-IP.
Was fehlt denn hier noch?
# ip route
default via WAN_IP dev net0 onlink
10.0.0.0/16 via 10.100.100.2 dev tun0
10.100.100.0/24 dev tun0 proto kernel scope link src 10.100.100.1
10.102.2.0/24 dev net1 proto kernel scope link src 10.102.2.1
WAN_NETZ/24 dev net0 proto kernel scope link src WAN_IPIch dachte die Zeile
10.0.0.0/16 via 10.100.100.2 dev tun0besagt dann dass die Pakte des Client-Netzes 10.0.0.0/16 durch den Tunnel gehen sollen und nicht an den Default-Gateway geschickt werden?
In Tutorials seht, man muss die statische Route setzen, und zwar mit der LAN-IP des VPN-Servers als Gatway.
Der Open-VPN-Server läuft bei mir allerdings auf dem Router selbst und hat nur die WAN-IP und keine LAN-IP.
Was fehlt denn hier noch?
Und wo steht das oben in deiner Fragestellung? Meine Glaskugel ist kaputt. Du musst schon mal alle wichtigen Infos liefern.
Wenn dein OpenVPN-Server auf dem Router läuft, dann brauchst du logischerweise keine Routen setzen, da der Server seine Netze kennt.
Und warum willst du NAT über deinen OpenVPN-Tunnel machen?
Wenn dein OpenVPN-Server auf dem Router läuft, dann brauchst du logischerweise keine Routen setzen, da der Server seine Netze kennt.
und hat nur die WAN-IP und keine LAN-IP.
Das wage ich zu bezweifeln. Dein Router wird bestimmt auch eine LAN-IP haben, die in den Endgeräten dann logischerweise als Default-Gateway eingetragen ist.Und warum willst du NAT über deinen OpenVPN-Tunnel machen?
Und wo steht das oben in deiner Fragestellung?
Sorry, war mein Fehler!
Dein Router wird bestimmt auch eine LAN-IP haben
Ja, auf dem Router sind folgende IP's:
net0: XX.XX.XX.XX/24 (WAN-IP)
net1: 10.102.1.1/24
net2: 10.102.2.1/24
net3: 10.102.3.1/24
tun0: 10.100.100.1/24Ich meinte, der VPN-Server ist auf die öffentliche IP eingestellt:
local XX.XX.XX.XX (WAN IP)Und warum willst du NAT über deinen OpenVPN-Tunnel machen?
k.A., habe aus dem Tutorial übernommen
, hab raus genommen.Also aktuell kann ich das Gerät mit der IP 10.102.2.101 vom Router aus anpingen.
Aus dem VPN-Client-Netz 10.0.10.0/24 sind allerdings nur die Router IP's erreichbar: 10.102.1.1, 10.102.2.1 und 10.102.3.1. Das Gerät 10.102.2.101 ist nicht erreichbar.
An was könnte es noch liegen?
Moin,
der Fehler wurde gefunden.
Es braucht in meinem Fall keine statischen Routen und kein NAT.
Danke an BirdyB!
Der Fehler war in der Konfiguration des Rechners selbst, der deswegen nicht erreichbar war.
Vielen Dank für eure Hilfe!
der Fehler wurde gefunden.
Es braucht in meinem Fall keine statischen Routen und kein NAT.
Danke an BirdyB!
Der Fehler war in der Konfiguration des Rechners selbst, der deswegen nicht erreichbar war.
Vielen Dank für eure Hilfe!
Keine Ursache. Freut mich, wenn es jetzt läuft.
