6
OpenVPN Client mit zwei Subnetzen
Hallo zusammen,
ich habe einen OpenVPN Server bei einem Hoster.
In einem LAN (LAN 01) habe ich ein OpenWRT Router mit einem OpenVPN Clienten.
In einem weiteren LAN (LAN 02) habe ich einen OpenVPN Client, mit dem ich auf das Subnetz in LAN 01 zugreife.
Das funktioniert soweit, wie es soll.
Nun möchte ich auf ein weiteres Subnetz über den Router einen Zugriff.
Das soll der Client auf dem OpenWRT Router ermöglichen.
Hier die Configs:
Server:
In der Server config habe ich in "ifconfig-pool-persist /var/log/openvpn/ipp.txt" nichts stehen.
Client im OpenWRT Router:
Im Ordner "/etc/openvpn/ccd/ " habe ich alle Cliente mit dem Eintrag für eine "statische" IP und das Subnetz bei denen, wo ich es benötige.
Das funktioniert auch mit jeweils einem Eintrag pro Client.
So komme ich in zwei Subnetze, bei zwei Clienten. Aber halt nur in eines pro Client.
Hier der Eintrag im ccd-Ordner bei client08:
Wenn ich dort ein zweites Subnetz angebe und das auch in der Server Config eingebe, dann kackt die Sache ab.
Ich sollte noch erwähnen, dass die Subnetze über die WAN Schnittstelle führen.
Habe die Firewall auf Durchzug gestellt und das klappt auch prima.
Wenn ich aber auch noch ins LAN möchte und die IP Adresse 192.168.134.0 255.255.255.0 in den configs hinzufüge, dann geht das nicht.
Hier die Bilder zur Router Konfiguration:
Ich wollte jetzt im client08 im ccd File den Eintrag : "iroute 192.168.134.0 255.255.255.0" hinzufügen und in der Server config "push "route 192.168.134.0 255.255.255.0"" und "route 192.168.134.0 255.255.255.0" aber das klappt nicht.
Kann ich über ein Client keine zwei Subnetze angeben und darauf zugreifen?
Ich sollte noch erwähnen, dass ich ein ähnliches Szenario aufgebaut habe, wo ich auch den Client auf dem OpenWRT Router habe und nur ins LAN gehe. Auch dort kann ich dann nicht zusätzlich ein weiteres Subnetz angeben.
Grüße
Der ewige Lehrling
ich habe einen OpenVPN Server bei einem Hoster.
In einem LAN (LAN 01) habe ich ein OpenWRT Router mit einem OpenVPN Clienten.
In einem weiteren LAN (LAN 02) habe ich einen OpenVPN Client, mit dem ich auf das Subnetz in LAN 01 zugreife.
Das funktioniert soweit, wie es soll.
Nun möchte ich auf ein weiteres Subnetz über den Router einen Zugriff.
Das soll der Client auf dem OpenWRT Router ermöglichen.
Hier die Configs:
Server:
fragment 1200
remote-cert-tls client
tls-version-min 1.2
auth SHA512
port 1194
proto udp4
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
topology subnet
push "topology subnet"
client-config-dir ccd
#Client im Router für 10.1.0.0 ist client08 siehe ccd Ordner
push "route 10.1.0.0 255.255.0.0"
#Client im Router für 10.77.0.0 ist client07 siehe ccd Ordner
push "route 10.77.0.0 255.255.0.0"
client-to-client
route 10.1.0.0 255.255.0.0
route 10.77.0.0 255.255.0.0
;push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
tls-crypt ta.key
cipher AES-256-GCM
;compress lz4-v2
;push "compress lz4-v2"
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
;log-append /var/log/openvpn/openvpn.log
verb 3 In der Server config habe ich in "ifconfig-pool-persist /var/log/openvpn/ipp.txt" nichts stehen.
Client im OpenWRT Router:
fragment 1200
auth-nocache
auth SHA512
verify-x509-name server name
client
dev tun
proto udp4
remote XXX.XX.XXX.XXX 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-crypt ta.key
cipher AES-256-GCM
;compress lz4-v2
verb 3 Im Ordner "/etc/openvpn/ccd/ " habe ich alle Cliente mit dem Eintrag für eine "statische" IP und das Subnetz bei denen, wo ich es benötige.
Das funktioniert auch mit jeweils einem Eintrag pro Client.
So komme ich in zwei Subnetze, bei zwei Clienten. Aber halt nur in eines pro Client.
Hier der Eintrag im ccd-Ordner bei client08:
iroute 10.1.0.0 255.255.0.0
ifconfig-push 10.8.0.8 255.255.255.0Wenn ich dort ein zweites Subnetz angebe und das auch in der Server Config eingebe, dann kackt die Sache ab.
Ich sollte noch erwähnen, dass die Subnetze über die WAN Schnittstelle führen.
Habe die Firewall auf Durchzug gestellt und das klappt auch prima.
Wenn ich aber auch noch ins LAN möchte und die IP Adresse 192.168.134.0 255.255.255.0 in den configs hinzufüge, dann geht das nicht.
Hier die Bilder zur Router Konfiguration:
Ich wollte jetzt im client08 im ccd File den Eintrag : "iroute 192.168.134.0 255.255.255.0" hinzufügen und in der Server config "push "route 192.168.134.0 255.255.255.0"" und "route 192.168.134.0 255.255.255.0" aber das klappt nicht.
Kann ich über ein Client keine zwei Subnetze angeben und darauf zugreifen?
Ich sollte noch erwähnen, dass ich ein ähnliches Szenario aufgebaut habe, wo ich auch den Client auf dem OpenWRT Router habe und nur ins LAN gehe. Auch dort kann ich dann nicht zusätzlich ein weiteres Subnetz angeben.
Grüße
Der ewige Lehrling
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3628792204
Url: https://administrator.de/contentid/3628792204
Printed on: April 25, 2024 at 13:04 o'clock
6 Comments
Latest comment
Moin,
die zulässigen Netze werden im Server für die Verbindung hinterlegt.
Zusätzlich musst Du dann noch die Zugriffsregeln für den Zugriff zwischen den Netzen ergänzen.
Gruß
Looser
die zulässigen Netze werden im Server für die Verbindung hinterlegt.
Zusätzlich musst Du dann noch die Zugriffsregeln für den Zugriff zwischen den Netzen ergänzen.
Gruß
Looser
Hallo Looser27,
ich versteh nur Bahnhof.
Ich habe auf dem OpenVPN Server insgesamt mal 7 Clienten angelegt, client02 bis client08.
Die habe ich in ccd eingefügt und wie oben beschrieben "befüllt".
Wie du an der Server Config siehst, habe ich den client07 und client08 in einem OpenWRT Router.
Wie in den Configs ersichtlich, habe ich die Subnetze damit für alle clienten freigegeben.
Das funktioniert auch.
Nebenbei sei erwähnt, dass die freigegebenen Subnetze im WAN der OpenWRT Router sind.
Habe aber auch erwähnt, dass ich das gleiche schon gemacht habe und das Subnetz im LAN freigegeben habe.
Das funktioniert alles wie es soll.
ABER:
Nun habe ich beim client08 ein weiteres Subnetz versucht freizugeben und habe dabei exakt den gleichen Syntax benutzt, wie für die anderen Subnetze.
Das funktioniert nun nicht.
Was soll ich nun wo und wie hinterlegen?
Grüße
Der ewige Lehrling
ich versteh nur Bahnhof.
Ich habe auf dem OpenVPN Server insgesamt mal 7 Clienten angelegt, client02 bis client08.
Die habe ich in ccd eingefügt und wie oben beschrieben "befüllt".
Wie du an der Server Config siehst, habe ich den client07 und client08 in einem OpenWRT Router.
Wie in den Configs ersichtlich, habe ich die Subnetze damit für alle clienten freigegeben.
Das funktioniert auch.
Nebenbei sei erwähnt, dass die freigegebenen Subnetze im WAN der OpenWRT Router sind.
Habe aber auch erwähnt, dass ich das gleiche schon gemacht habe und das Subnetz im LAN freigegeben habe.
Das funktioniert alles wie es soll.
ABER:
Nun habe ich beim client08 ein weiteres Subnetz versucht freizugeben und habe dabei exakt den gleichen Syntax benutzt, wie für die anderen Subnetze.
Das funktioniert nun nicht.
Was soll ich nun wo und wie hinterlegen?
Grüße
Der ewige Lehrling
Das grundsätzliche Setup für einmal eine One armed und eine Kaskaden Lösung findest du hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Zugriff auf Gerät an LTE Router via VPN
OpenVPN - Erreiche Netzwerk hinter Client nicht
Zugriff auf Gerät an LTE Router via VPN
Hallo aqui,
kannst du mir beantworten, ob ich bei einem Client zwei subnetze freigeben kann.
Grüße
der ewige Lehrling
kannst du mir beantworten, ob ich bei einem Client zwei subnetze freigeben kann.
Grüße
der ewige Lehrling
Ja, das kann man natürlich problemlos. Je nachdem mit 2 Routing Einträgen in der Server Konf Datei. (route... und iroute. Beide definieren das/die lokalen Client IP Netze. Siehe die 2 Dir oben genannten Tutorials)
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert.
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert.
1Zitat von @aqui:
Ja, das kann man natürlich problemlos. Je nachdem mit 2 Routing Einträgen in der Server Konf Datei. (route... und iroute. Beide definieren das/die lokalen Client IP Netze. Siehe die 2 Dir oben genannten Tutorials)
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert.
Ja, das kann man natürlich problemlos. Je nachdem mit 2 Routing Einträgen in der Server Konf Datei. (route... und iroute. Beide definieren das/die lokalen Client IP Netze. Siehe die 2 Dir oben genannten Tutorials)
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert.
Danke
Grüße
der ewige Lehrling
