Geräte hinter VPN Server freigeben
Hallo,
ich habe derzeit ein Problem, dass diverse Geräte hinter einem VPN Server nicht auftauchen.
Auf die Geräte der Clients kann ich zugreifen. Dieses sind DigiCom VPN Router, hinter denen sich diverse Geräte befinden.
Jedoch komme ich nicht auf die Geräte, die sich im gleichen LAN befinden. Muss ich hier noch zusätzlich einen VPN Client auf dem Server mitlaufen lassen?
Es befindet sich in dem Netzwerk ein Brother Netzwerkdrucker mit der IP Adresse 192.168.2.29, der von den anderen Geräten aus benutzt werden muss über das Internet hinweg.
--- server.conf (Auszug)
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0" # Lokales Netzwerk am VPN Server
ush "route 192.168.101.0 255.255.255.0" # VPN Client
...
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0 # Lokales Netzwerk am VPN Server
route 192.168.101.0 255.255.255.0 # VPN Client
...
keepalive 10 60 # Timeout für den Servermode.
ich habe derzeit ein Problem, dass diverse Geräte hinter einem VPN Server nicht auftauchen.
Auf die Geräte der Clients kann ich zugreifen. Dieses sind DigiCom VPN Router, hinter denen sich diverse Geräte befinden.
Jedoch komme ich nicht auf die Geräte, die sich im gleichen LAN befinden. Muss ich hier noch zusätzlich einen VPN Client auf dem Server mitlaufen lassen?
Es befindet sich in dem Netzwerk ein Brother Netzwerkdrucker mit der IP Adresse 192.168.2.29, der von den anderen Geräten aus benutzt werden muss über das Internet hinweg.
--- server.conf (Auszug)
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0" # Lokales Netzwerk am VPN Server
ush "route 192.168.101.0 255.255.255.0" # VPN Client
...
client-config-dir /etc/openvpn/ccd
route 192.168.2.0 255.255.255.0 # Lokales Netzwerk am VPN Server
route 192.168.101.0 255.255.255.0 # VPN Client
...
- Die Clients können sich untereinander sehen
keepalive 10 60 # Timeout für den Servermode.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277230
Url: https://administrator.de/forum/geraete-hinter-vpn-server-freigeben-277230.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
ifconfig-push 10.8.0.2 10.8.0.1
iroute 192.168.101.0 255.255.255.0
192.168.101.0 255.255.255.0
192.168.102.0 255.255.255.0
192.168.103.0 255.255.255.0
...und die sich untereinander erreichen sollen.
Gruß orcape
push "route 192.168.2.0 255.255.255.0" # Lokales Netzwerk am VPN Server
OKush "route 192.168.101.0 255.255.255.0" # VPN Client
Das remote Netzwerk musst Du nicht pushen.....route 192.168.101.0 255.255.255.0 # ist OK
client-config-dir /etc/openvpn/ccd
...sollte so aussehen...ifconfig-push 10.8.0.2 10.8.0.1
iroute 192.168.101.0 255.255.255.0
Die Clients können sich untereinander sehen
client-to-client
Der Eintrag ist nur notwendig, wenn Du mehrere OpenVPN-Clientnetze betreibst, also z.B....client-to-client
192.168.101.0 255.255.255.0
192.168.102.0 255.255.255.0
192.168.103.0 255.255.255.0
...und die sich untereinander erreichen sollen.
Gruß orcape
Bei mir will gerade nicht reingehen, wieso die ifconfig-push hier notwendig ist. Betrifft dass jedem Client? Bislang ging es ohne
Wenn das so funktioniert, Ok. Bei mir laufen die Server auf pfSense und durch den GUI wird das automatisch kreiert. Wenn Du mehrere OpenVPN-Clients hast, kannst Du aber mit dem ersten Eintrag die IP des Tunnelendpunktes festlegen, z.B. 10.8.0.2 etc...Die client-to-client sollte drin bleiben. Denn es gibt eine VPN-Router im Netzwerk (3G), die jeweils einen Client am LAN haben, auf den ich Zugriff haben
muss. Die Geräte haben keine Möglichkeit, selber als VPN Client tätig zu werden. Diese haben dann die Adressen 192.168.10x.x.
Ok.muss. Die Geräte haben keine Möglichkeit, selber als VPN Client tätig zu werden. Diese haben dann die Adressen 192.168.10x.x.
Des weiteren sind auch einige Rechner direkt als VPN Client ausgestattet. Um diese Geräte handelt es sich in diesem Fall. Diese müssen auf einem Drucker > hinter dem VPN Server zugreifen.
- Portforwarding 1194 auf dem Router ?- Worauf läuft der Server ?
- Wie sieht das Netzwerk lokal aus ?
Habe nun soweit gesehen, dass für die ganze Sache der tap (Bridge-Modus) notwendig ist
Wenn Du Server-LAN und Remotes-LAN unterschiedliche Netzwerke hast, funktioniert der TAP-Device so nicht.Dazu müssen beide Netze gleich sein, würde ich aber so nicht empfehlen, da Du damit den gesamten Broadcast Traffic mit über den Tunnel ziehst.
Hast Du auf dem Linux-Server das Routing aktiviert ?
Das könnte schon Dein Problem sein.
push "route 192.168.101.0 255.255.255.0" # LAN hinter einem über internet verbundenen OpenVPN Router
route 192.168.101.0 255.255.255.0 # LAN hinter einem über internet verbundenen OpenVPN Router
client-config-dir /etc/openvpn/ccd # ist Ok in der Server.conf
dann in die /etc/openvpn/ccd eintragen....
iroute 192.168.101.0 255.255.255.0 # LAN hinter einem über internet verbundenen OpenVPN Router
Die Routen sehen derzeit wie folgt aus
Die sind OK.Wenn Du vom Server den Client-Router pingen kannst, das remote LAN nicht....
...dann wirst Du wohl noch ein paar Firewallregeln auf dem remoten Router erstellen müssen.
Gruß orcape
Oder hast du dich hier mit den Namen vertan?
Nein. Push brauchst Du um Netze im Server-LAN zu erreichen.Für den Remoten Zugriff nicht nötig.
Wenn Du die Tunnelendpunkte pingen kannst und auch per ssh auf Deinen Remoten Router kommst, also von 10.8.0.1 auf 10.8.0.2, aber nicht auf das Client-LAN, blockt da wohl die FW.
Was sind das für Client-Router ?