nicole44
Goto Top

2 Openvpn Server auf der selben Maschine zusammen routen

Hallo experten ich betreibe einen kleinen V Server auf dem unter anderem auch 2 Openvpn Server laufen die ich jetzt gern untereinander verbinden möchte!
Das heißt konkret das ich als client von Server 1 eine Verbindung zu client Server 2 herstellen möchte.
Ist mein Vorhaben möglich zu realisieren?
Vielen Dank

Nicole

Content-Key: 220720

Url: https://administrator.de/contentid/220720

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: Cthluhu
Cthluhu 29.10.2013 um 14:26:30 Uhr
Goto Top
Hi,

Warum brauchst du zwei openvpn Server? Fass die doch zu einem einzigen zusammen.

mfg

Cthluhu
Mitglied: nicole44
nicole44 29.10.2013 um 14:29:11 Uhr
Goto Top
Ja das geht nicht!
Auf den 2 Servern laufen unterschiedliche Verschlüsselungen und das muß
so bleiben!
Danke
trozdem
Mitglied: Cthluhu
Cthluhu 29.10.2013 um 15:46:50 Uhr
Goto Top
Ok, wenn zusammenlegen keine Option ist, hilft vielleicht das hier weiter: http://ubuntuforums.org/showthread.php?t=1448545
Mitglied: falscher-sperrstatus
falscher-sperrstatus 29.10.2013 um 16:34:28 Uhr
Goto Top
Hallo Nicole

ggf. benötigst du dafür ein Transfernetz von OvpnConf1 auf OvpnConf2. Sinnvoller wäre hier dann aber wohl eine ordentliche Routingkonfiguration.

Beste Grüße,

Christian
certified IT
Mitglied: aqui
aqui 29.10.2013 um 17:46:59 Uhr
Goto Top
Das ist unsinnig was oben steht ! Natürlich kannst du 2 OpenVPN Server betreiben und auch zusammen koppeln !
Bevor wir ins Eingemachte gehen solltest du aber mal wasserdicht erklären WAS genau du vorhast.
Versteht man deinen Thread richtig willst du die beiden OVPN Server am lokalen LAN Interface zusammen routen ?!
Ist das so richtig ??
In jedem Fall brauchst du dann aber einen Router wie Kollege certifedit richtig bemerkt der diese beiden Segmente verbindet. Das kann der Host Server selber sein oder ein externen Router je nachdem wie dein Design aussieht zu dem du uns ja leider rein gar nix mitteilst und uns so zum Raten zwingt.
Mitglied: nicole44
nicole44 29.10.2013 um 19:40:42 Uhr
Goto Top
Zitat von @aqui:
Das ist unsinnig was oben steht ! Natürlich kannst du 2 OpenVPN Server betreiben und auch zusammen koppeln !
Bevor wir ins Eingemachte gehen solltest du aber mal wasserdicht erklären WAS genau du vorhast.
Versteht man deinen Thread richtig willst du die beiden OVPN Server am lokalen LAN Interface zusammen routen ?!
Ist das so richtig ??
In jedem Fall brauchst du dann aber einen Router wie Kollege certifedit richtig bemerkt der diese beiden Segmente verbindet.
Das kann der Host Server selber sein oder ein externen Router je nachdem wie dein Design aussieht zu dem du uns ja leider rein gar
nix mitteilst und uns so zum Raten zwingt.
Also ich versuche mein Vorhaben nochmal zu erklären!
Ich habe einen V_Server gehostet auf dem ich unter anderem auch erfolgreich zwei OpenVpn Server betreibe!
Ein OpenVpn Server läuft auf Port1194 und der andere auf Port443 Jeweils mit unterschiedlichen Verschlüsselungen!
Nun möchte ich das sich die Clients von Server 1 und die Clients von Server 2 sehen können!
Ich hoffe ich habe mich einigermaßen klar ausgedrückt!

Danke für Eure Hilfe

Nicole
Mitglied: aqui
aqui 30.10.2013 um 09:16:51 Uhr
Goto Top
Ja, nun ist das klar !
Ja das ist kinderleicht indem du die beiden lokalen LANs der Clients entweder mit einem externen Router verbindest oder über die internen VM NICs routest.
Das ist mit 3 Mausklicks erledigt !
Zwingende Voraussetzung dafür ist allerdings das beide lokalen LANs der Clients in unterschiedlichen IP Netzen liegen und du jeweils dieses LAN in den OVPN Server Konfig Dateien mit "push route xyz..." an die Clients propagierst.
Wie gesagt, ein Kinderspiel. Grundlagen erklären dir diese Tutorials:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: nicole44
nicole44 30.10.2013 um 10:49:47 Uhr
Goto Top
Zitat von @aqui:



Hallo Aqui,
danke für Deine Hilfe!
Ich verstehe einige aussagen die Du gemacht hast nicht endschuldige mich dafür!
Was meinst Du mit genau
Ja das ist kinderleicht indem du die beiden lokalen LANs der Clients entweder mit einem externen Router verbindest oder über
die internen VM NICs routest.
kann man die zwei opnvpn Netze nicht einfach Server seitig zusammen Routen?
Zwingende Voraussetzung dafür ist allerdings das beide lokalen LANs der Clients in unterschiedlichen IP Netzen liegen
Das hab ich!
und du jeweils dieses LAN in den OVPN Server Konfig Dateien mit "push route xyz..." an die Clients propagierst.
ist es also ausreichend wenn ich auf dem OpenVpn Server 1 ein "push route Client ip Server2" mache und auf dem OpenVpn Server 2 ein "push route Client Server1?
Vielen Dank schon mal im voraus für Deine Hilfe
Mitglied: aqui
aqui 30.10.2013 um 11:59:30 Uhr
Goto Top
Ja, das geht natürlich auch wenn die beiden OVPN Lokalnetze auf vNICs im Hostmodus aufliegen und wie schon bemerkt unterschiedliche IPs haben, was du ja glücklicherweise auch hast.
Dann aktiviert man ganz einfach IP Forwarding (Routing) auf dem Host und kann zw. diesen Netzen einfach routen. Das o.a. Tutorial mit den 2 NICs hat die Grundlagen dazu.
Das push Route Kommando ist falsch oben !
Zuallererst musst du mal schildern ob du beide Netze an die OVPN Clients überhaupt pushen willst. Will sagen soll jeder remote VPN Client immer beide Netze erreichen können oder willst du nur das sich die lokalen LAN Segmente beide "sehen" also quasi das nur ein lokales Routing dieser Geräte passiert ??
Das wäre wichtig zu wissen denn das beschreibt dein Thread nicht face-sad
Mitglied: nicole44
nicole44 30.10.2013 um 12:15:36 Uhr
Goto Top
Am liebsten wäre mir wenn ich vom Serve raus kontrollieren könnte welche Clients sich sehen können welche nicht.
Idealerweise stelle ich mir Einträge ins ccd File der entsprechenden Clients vor!
Ist das möglich ?
Wenn es möglich ist wie realisiere ich das?
Leider verstehe ich Deine Fragen nicht zu100%

Zuallererst musst du mal schildern ob du beide Netze an die OVPN Clients überhaupt pushen willst. Will sagen soll jeder
remote VPN Client immer beide Netze erreichen können oder willst du nur das sich die lokalen LAN Segmente beide
"sehen" also quasi das nur ein lokales Routing dieser Geräte passiert ??

Was meinst Du damit genau?
Mitglied: aqui
aqui 30.10.2013 um 15:54:13 Uhr
Goto Top
Aaalso nochmal ganz langsam....
Deine 2 OVPN Server haben ja 2 lokale LAN Netze die vermutlich als virtuelle Netzwerkadapter der VM die den OVPN Server betreibt am Host, richtig ?
Es gilt dann also nur diese beiden virtuellen Adapter zu verbinden.

Desweiteren kann ja jeder deiner 2 OVPN nicht nur sein eigenes lokales LAN an die remoten Clients pushen wie es Standard ist sondern aich noch das jeweils 2te LAN des anderen OVPN Servers.
So kannst du dann mit beiden Clients auch immer das jeweils andere lokale LAN erreichen.
Wenn du das nicht machst können die Clients das jeweils andere lokale LAN nicht erreichen aber Clinets oder andere Endgeräte in diesen LANs können dann lokal sich per Routing erreichen.
Man lässt dann also diejenigen OVPN Clients auch nur auf diese lokalen LAN zu den sie sollen. Diese Einstellung betrifft also mehr die remoten VPN Clinets.

Was du da realisieren willst ist deshalb nicht ganz klar. Also jeder mit jedem inklusive VPN Clients oder nur lokales routen der beiden lokalen LANs.
Mitglied: nicole44
nicole44 30.10.2013 um 16:27:21 Uhr
Goto Top
Entschuldige mich aber ich habe das gefühl das wir an uns vorbeireden!
Ich habe jetzt eine Skizze erstellt
4ba14912a87f5175c24c1443ef5a64f7
vielleicht sprechen wir jetzt von der selben Sache.
Ich möchte primär das Client1 von Server1 mit Client1 von Server 2 eine Verbindung aufbauen kann.
Wenn es möglich ist möchte ich von den OpenVpn Servern aus jedoch kontrollieren welcher Client von Server1 mit welchem Client von Server2 sprechen darf.
Wie kann ich das realisieren?
Was für Infos brauchst du noch?

Vielen Dank LG
Nicole
Mitglied: aqui
aqui 30.10.2013 aktualisiert um 16:37:29 Uhr
Goto Top
Das wichtigste hast du vergessen !
Die OpenVPN Server haben immer auch ein lokales LAN Segment also quasi 2 Ports einmal das was ins Internet geht und einmal das lokale IP Segment !
WIE und WO ist das an den VM Host adaptiert und angeschlossen ?? Denn mit den Clients willst du ja irgendein Zielnetz erreichen und Endgeräte dort.
DAS wäre wichtig gewesen !
Wenn das Zielnetz nur der VM Host selber ist, dann ist das kinderleicht. OVPN nutz ja immer ein internes IP Segment also quasi das IP Netz was im Tunnel verwendet wird und das was als "server 172.16.2.0 255.255.255.0" in der Server Konfig Datei steht
Welches das ist kannst du bei aktivem Client sehen wenn du mal ipconfig -all eingibst.
Nehmen wir mal an bei deinem ersten Server ist das 172.16.1.0 255.255.255.0 und beim 2ten 172.16.2.0 255.255.255.0.
Dann schreibst du in die Server Konfig jeweils immer mit "push "route 172.16.1.0 255.255.255.0" jeweils immer das andere Client Netzwerk.
Zudem musst du sicherstellen das Client zu Client Kommunikation erlaubt ist was aber der Default ist und da sbeide Netze über den VM Host erreichbar sind (IP Forwarding aktivieren !)
Das wars...jedenfalls wenn du keine lokalen LANs hast.
Mit denen sinds ein paar Schritte mehr.
Mitglied: nicole44
nicole44 30.10.2013 um 16:37:27 Uhr
Goto Top
Entschuldige meine ignorants aber wie kann ich das feststellen?

Lg
Nicole
Mitglied: aqui
aqui 30.10.2013 um 16:37:52 Uhr
Goto Top
Was feststellen ??
Mitglied: nicole44
nicole44 30.10.2013 um 16:43:52 Uhr
Goto Top
Wie kann ich feststellen ob ich auch ein Lokales Lan auf dem Server habe?

Danke
Lg
Nicole
Mitglied: aqui
aqui 30.10.2013 um 16:46:21 Uhr
Goto Top
Indem du ganz einfach mal die OVPN Server Konfig Datei ansiehst. Warum fragst du solche banalen Grundlagen ?? DU hast doch den Server aufgesetzt oder etwa nicht ??
Ansonst führe dir nochmal dieses Tutorial zumute das hat allle Basisinfos zu OVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: nicole44
nicole44 30.10.2013 um 16:58:34 Uhr
Goto Top
Ja den Server habe ich aufgesetzt aber die ganzen fachausdrücke kenne ich leider nicht.
Meine Server.conf sieht so aus
port 443
proto udp
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.1.100.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
route 192.168.20.0 255.255.255.0
route 192.168.21.0 255.255.255.0
push "route 192.168.20.0 255.255.255.0"
push "route 192.168.21.0 255.255.255.0"
route 10.99.99.0 255.255.255.0
push "route 10.99.99.0 255.255.255.0"

ich habe mir das ganze zusammen kopiert was es genau macht aber nicht zu 100% verstanden

Vielen Dank für deine Geduld
LG
Nicole
Mitglied: aqui
aqui 31.10.2013 um 09:45:04 Uhr
Goto Top
Mmmhhh...laut deiner Konfig sind die lokalen Netze 192.168.20.0 /24 und .21.0 /24 dann geistert da noch ein 10.99.99.0 /24 Netz rum was auch an die Clients propagiert wird.
Da müsste man dann nun mal wissen wie und wo diese 3 lokalen IP Netze liegen bzw. auf dem VM Host definiert sind ??
Mitglied: nicole44
nicole44 31.10.2013 um 09:52:21 Uhr
Goto Top
Zitat von @aqui:
Mmmhhh...laut deiner Konfig sind die lokalen Netze 192.168.20.0 /24 und .21.0 /24 dann geistert da noch ein 10.99.99.0 /24 Netz
rum was auch an die Clients propagiert wird.
Da müsste man dann nun mal wissen wie und wo diese 3 lokalen IP Netze liegen bzw. auf dem VM Host definiert sind ??
Die oben genannten Netze sind die Netzwerke von WRT54 Routern die über OPEN VPN am V-Server verbunden sind!
Vielen Dank für Deine Hilfe

Nicole
Ps Ich stell mich wohl sehr Doof an?
Mitglied: aqui
aqui 31.10.2013 aktualisiert um 10:04:53 Uhr
Goto Top
Ohne ein kurze Skizze WIE diese IP Netze mit dem VM Host und seinen NICs verschaltet sind kommen wir hier nicht weiter. Die WRT Router hast du uns ja bis dato vollkommen unterschlagen und damit sinnloserweise Mehrarbeit erzeugt hier face-sad Ohne diese Router gehts ja nicht. Bitte dediziert schildern ob dort alternative Firmware zum Einsatz kommt wie z.B. DD-WRT, wo WAN und LAN Port verwendet werden und ob dort mit oder ohne aktiviertes NAT geroutet wird !
All das ist essentiell wichtig um das zu lösen und das Routing sauber hinzubekommen.

Tip: Ein Bild kannst du über die Bilder Upload Funktion hier hochladen.
  • Originalthread unter "Fragen" auswählen und rechts auf "Bearbeiten klicken.
  • Oben "Bilder hochladen" auswählen und Bild im .jpg Format hochladen
  • Den nach dem Hochladen erscheinenden Bilder URL mit Cut and Paste sichern
Den Bilder URL kannst du jetzt in jeden Text hier bringen, auch Antworten. Statt des URLs wird dann immer dein Bild angezeigt !
Mitglied: nicole44
nicole44 31.10.2013 um 10:43:20 Uhr
Goto Top
Zitat von @aqui:
Ohne ein kurze Skizze WIE diese IP Netze mit dem VM Host und seinen NICs verschaltet sind kommen wir hier nicht weiter. Die WRT
Router hast du uns ja bis dato vollkommen unterschlagen und damit sinnloserweise Mehrarbeit erzeugt hier face-sad Ohne diese Router
gehts ja nicht. Bitte dediziert schildern ob dort alternative Firmware zum Einsatz kommt wie z.B. DD-WRT, wo WAN und LAN Port
verwendet werden und ob dort mit oder ohne aktiviertes NAT geroutet wird !
All das ist essentiell wichtig um das zu lösen und das Routing sauber hinzubekommen.
So ich habe jetzt noch eine Skizze angefertigt
11464854cdbb559d7fefed88cba25e74
wusste nicht das es eine Rolle spielt ob meine Clients Router oder normale Pc sind!

Nun noch mal ich möchte mit dem Notebook das über OpenVpn mit Server2 verbunden ist auf die Drucker und Nas hinter den Wrt Routern die mit OpenVpn mit Server 1 verbunden sind zu greifen!

Vielen Dank und Entschuldige mich das ich Dir Mehrarbeit erzeugt habe!

Nicole
Mitglied: aqui
aqui 31.10.2013 um 12:58:20 Uhr
Goto Top
Im Grunde ist das ganz einfach: Die beiden OVPN Server sind ja separate VMs die per virtueller NIC am VM Host hängen bei dir, richtig ?
Relevant ist jetzt welche IP Adressen dort verwendet wurden.
Diese beiden NICs musst du also koppeln über den VM Host per Routing. Sprich der VM Host muss IP Forwarding aktiviert haben auf seinen beiden vNICs.
So kannst du die beiden OVPN Server lokal verbinden und via Routing erreichbar machen. Was dazu nötig ist an Grundlagen steht in dem obigen Tutorial zum Routing mit 2 NICs unter Win und Linux.
Mitglied: nicole44
nicole44 31.10.2013 aktualisiert um 14:20:55 Uhr
Goto Top
Hallo aqui aber ich verstehe schon im ersten Satz nicht alles!
Im Grunde ist das ganz einfach: Die beiden OVPN Server sind ja separate VMs die per virtueller NIC am VM Host hängen bei dir,
richtig ?
Mit VMs meinst Du Virtuelle Maschinen?
Was ist ein VM Host?
Relevant ist jetzt welche IP Adressen dort verwendet wurden.
Ich habe in der Zeichnung die Virtuellen Ip Adressen eingetragen! Für Server1 10.1 .100.0 und für Server2 10.99.10.0
Diese beiden NICs musst du also koppeln über den VM Host per Routing. Sprich der VM Host muss IP Forwarding aktiviert haben
auf seinen beiden vNICs.
Wo soll ich IP Forwarding aktivieren? Auf meinem Server oder gibt es dazu eine Einstellung für die Open VPN Server.conf?
So kannst du die beiden OVPN Server lokal verbinden und via Routing erreichbar machen. Was dazu nötig ist an Grundlagen steht
in dem obigen Tutorial zum Routing mit 2 NICs unter Win und Linux.
Tut mir Leid aber im oben genannten Tutorial habe ich die Einstellungen von OpenVpn nicht gefunden!

Vielen Dank für Deine Hilfe
Lg
Nicole
Mitglied: aqui
aqui 01.11.2013 um 10:08:00 Uhr
Goto Top
Wenn man dich richtig versteht, dann hast du einen VM Host also ein ESXi oder Linux/Windows mit VmWare Server, Virtual Box oder sowas.
Auf diesem VM Host rennen dann 2 VMs auch wieder mit Winblows oder Linux in denen deine OVPN Server laufen..., richtig ?
Diese beiden VMs die auf dem VM Host laufen müssen irgendeine Art der Netzwerkanbindung haben an den VM Host. Meist ist das Bridging auf den internen vNICs.
Wäre das der Fall bei dir wäre das ideal, denn dann hätte man die Verbindung schon realisiert.
Deine vNICs arbeiten aber vermutlich im Host Adapter Mode und dann musst du zwangsläufig routen was ber auch kein Problem ist, da man lediglich mit einem Mausklick IP-Forwarding auf dem Host aktivieren muss.
Wichtig ist jetzt ertsmal zu verstehen WIE deine beiden VMs mit den OVPNs laufen und wodrauf ??
Mitglied: nicole44
nicole44 01.11.2013 aktualisiert um 15:57:46 Uhr
Goto Top
Hallo
Wichtig ist jetzt ertsmal zu verstehen WIE deine beiden VMs mit den OVPNs laufen und wodrauf ??
Ich Habe einen Virtuellen Linux Server gehostet!
Auf diesem Linux Server habe ich zwei Openvpn Server unter Webmin laufen!
Wenn ich mir mit ifconfig in der Konsole alles ausgeben bekomme ich folgendes
root@v121223123636541:~# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3779910 errors:0 dropped:0 overruns:0 frame:0
TX packets:3779910 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:361701490 (361.7 MB) TX bytes:361701490 (361.7 MB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.1.100.1 P-t-P:10.1.100.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.10.1 P-t-P:10.99.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: 2a00:6480:2:1:0:1:c7f2:7b32/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:1628695 errors:0 dropped:0 overruns:0 frame:0
TX packets:1646438 errors:0 dropped:6 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:251451447 (251.4 MB) TX bytes:240653805 (240.6 MB)


Nicole
Mitglied: aqui
aqui 01.11.2013 aktualisiert um 14:27:36 Uhr
Goto Top
Mach bitte deine öffentlichen IPs oben im Post anonym wenn nicht geschehen, denn das animiert nur Spielkinder deinen hostingparadise.de Server bei Smart Terra GmbH zu ärgern.

Ich habe den Verdacht wir reden komplett aneinander vorbei...
Du hast also einzig einen Linux Host ohne irgendeine Virtualisierung da drauf und hast dort schlicht und einfach nur 2 OVPN Prozesse laufen...ist das so richtig ?
Wenn ja musst du nur ein Routing (ip forwarding) zwischen dem tun1 und tun2 Adapter aktivieren und das wars dann !
Du musst nur in den jeweiligen Clients das interne Netzwerk des anderen mit dem "push" Kommando announcen. Also bei server 10.1.100.0 255.255.255.0 dann 10.99.10.0 und bei server 10.99.10.0 255.255.255.0 dann analog 10.1.100.0.
Bei ersterem hast du das ja schon richtig gemacht !
Ein route print auf dem Laptop bzw. wenn du dir die Routing Tabelle im DD-WRT ansiehst sollte die immer das jeweilige tun Netz der anderen Seite im Routing über den VPN Tunnel anzeigen.
Wichtig ist natürlich das ip forwarding auf dem Server aktiviert ist !
Mitglied: nicole44
nicole44 01.11.2013 um 15:59:49 Uhr
Goto Top
Danke funktioniert jetzt wie ne Eins!

Danke!