fisi-lehrling
Goto Top

OpenVPN Client mit zwei Subnetzen

Hallo zusammen,

ich habe einen OpenVPN Server bei einem Hoster.

In einem LAN (LAN 01) habe ich ein OpenWRT Router mit einem OpenVPN Clienten.
In einem weiteren LAN (LAN 02) habe ich einen OpenVPN Client, mit dem ich auf das Subnetz in LAN 01 zugreife.

Das funktioniert soweit, wie es soll.
Nun möchte ich auf ein weiteres Subnetz über den Router einen Zugriff.
Das soll der Client auf dem OpenWRT Router ermöglichen.

Hier die Configs:

Server:
fragment 1200
remote-cert-tls client
tls-version-min 1.2 
auth SHA512
port 1194  
proto udp4 
dev tun    

ca ca.crt  
cert server.crt
key server.key
dh dh.pem

server 10.8.0.0 255.255.255.0   
ifconfig-pool-persist /var/log/openvpn/ipp.txt 

push "dhcp-option DNS 208.67.222.222"  
push "dhcp-option DNS 208.67.220.220"  

topology subnet
push "topology subnet"  
client-config-dir ccd
#Client im Router für 10.1.0.0 ist client08 siehe ccd Ordner
push "route 10.1.0.0 255.255.0.0"  
#Client im Router für 10.77.0.0 ist client07 siehe ccd Ordner
push "route 10.77.0.0 255.255.0.0"  

client-to-client
route 10.1.0.0 255.255.0.0
route 10.77.0.0 255.255.0.0

;push "redirect-gateway def1 bypass-dhcp"   

keepalive 10 120        
tls-crypt ta.key        
                        
                        
cipher AES-256-GCM      
 
;compress lz4-v2        
;push "compress lz4-v2"   

user nobody             
group nogroup
persist-key
persist-tun

status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log 
;log-append  /var/log/openvpn/openvpn.log 

verb 3  

In der Server config habe ich in "ifconfig-pool-persist /var/log/openvpn/ipp.txt" nichts stehen.

Client im OpenWRT Router:

fragment 1200 
auth-nocache  
auth SHA512    
verify-x509-name server name  

client                 
dev tun                
proto udp4             
remote XXX.XX.XXX.XXX 1194 
resolv-retry infinite 
nobind

;user nobody           
;group nogroup

persist-key
persist-tun

ca ca.crt              
cert client.crt
key client.key

remote-cert-tls server 
tls-crypt ta.key       
                       
                       
cipher AES-256-GCM     
;compress lz4-v2       
verb 3 

Im Ordner "/etc/openvpn/ccd/ " habe ich alle Cliente mit dem Eintrag für eine "statische" IP und das Subnetz bei denen, wo ich es benötige.
Das funktioniert auch mit jeweils einem Eintrag pro Client.

So komme ich in zwei Subnetze, bei zwei Clienten. Aber halt nur in eines pro Client.

Hier der Eintrag im ccd-Ordner bei client08:
iroute 10.1.0.0 255.255.0.0
ifconfig-push 10.8.0.8 255.255.255.0

Wenn ich dort ein zweites Subnetz angebe und das auch in der Server Config eingebe, dann kackt die Sache ab.

Ich sollte noch erwähnen, dass die Subnetze über die WAN Schnittstelle führen.
Habe die Firewall auf Durchzug gestellt und das klappt auch prima.

Wenn ich aber auch noch ins LAN möchte und die IP Adresse 192.168.134.0 255.255.255.0 in den configs hinzufüge, dann geht das nicht.

Hier die Bilder zur Router Konfiguration:

vpn01

vpn03

vpn02

vpn04

vpn05


Ich wollte jetzt im client08 im ccd File den Eintrag : "iroute 192.168.134.0 255.255.255.0" hinzufügen und in der Server config "push "route 192.168.134.0 255.255.255.0"" und "route 192.168.134.0 255.255.255.0" aber das klappt nicht.

Kann ich über ein Client keine zwei Subnetze angeben und darauf zugreifen?

Ich sollte noch erwähnen, dass ich ein ähnliches Szenario aufgebaut habe, wo ich auch den Client auf dem OpenWRT Router habe und nur ins LAN gehe. Auch dort kann ich dann nicht zusätzlich ein weiteres Subnetz angeben.

Grüße
Der ewige Lehrling

Content-ID: 3628792204

Url: https://administrator.de/forum/openvpn-client-mit-zwei-subnetzen-3628792204.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

Looser27
Looser27 12.08.2022 um 16:00:46 Uhr
Goto Top
Moin,

die zulässigen Netze werden im Server für die Verbindung hinterlegt.
Zusätzlich musst Du dann noch die Zugriffsregeln für den Zugriff zwischen den Netzen ergänzen.

Gruß

Looser
FISI-Lehrling
FISI-Lehrling 12.08.2022 um 16:35:53 Uhr
Goto Top
Hallo Looser27,

ich versteh nur Bahnhof.
Ich habe auf dem OpenVPN Server insgesamt mal 7 Clienten angelegt, client02 bis client08.
Die habe ich in ccd eingefügt und wie oben beschrieben "befüllt".

vpn06

Wie du an der Server Config siehst, habe ich den client07 und client08 in einem OpenWRT Router.

Wie in den Configs ersichtlich, habe ich die Subnetze damit für alle clienten freigegeben.
Das funktioniert auch.
Nebenbei sei erwähnt, dass die freigegebenen Subnetze im WAN der OpenWRT Router sind.
Habe aber auch erwähnt, dass ich das gleiche schon gemacht habe und das Subnetz im LAN freigegeben habe.
Das funktioniert alles wie es soll.

ABER:
Nun habe ich beim client08 ein weiteres Subnetz versucht freizugeben und habe dabei exakt den gleichen Syntax benutzt, wie für die anderen Subnetze.

Das funktioniert nun nicht.

Was soll ich nun wo und wie hinterlegen?

Grüße
Der ewige Lehrling
aqui
aqui 13.08.2022 um 11:48:02 Uhr
Goto Top
Das grundsätzliche Setup für einmal eine One armed und eine Kaskaden Lösung findest du hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Zugriff auf Gerät an LTE Router via VPN
FISI-Lehrling
FISI-Lehrling 15.08.2022 um 18:35:23 Uhr
Goto Top
Hallo aqui,

kannst du mir beantworten, ob ich bei einem Client zwei subnetze freigeben kann.

Grüße
der ewige Lehrling
aqui
Lösung aqui 16.08.2022 aktualisiert um 10:51:18 Uhr
Goto Top
Ja, das kann man natürlich problemlos. Je nachdem mit 2 Routing Einträgen in der Server Konf Datei. (route... und iroute. Beide definieren das/die lokalen Client IP Netze. Siehe die 2 Dir oben genannten Tutorials)
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert. face-wink
FISI-Lehrling
FISI-Lehrling 18.08.2022 um 17:22:12 Uhr
Goto Top
Zitat von @aqui:

Ja, das kann man natürlich problemlos. Je nachdem mit 2 Routing Einträgen in der Server Konf Datei. (route... und iroute. Beide definieren das/die lokalen Client IP Netze. Siehe die 2 Dir oben genannten Tutorials)
Oder wenn du intelligent gesubnettet hast einfach mit einer grösseren Subnetzmaske an den route und iroute Kommandos die beide IP Netze auf Clientseite inkludiert. face-wink

Danke

Grüße
der ewige Lehrling