r14943
Goto Top

VPN mit mehrenen Clienten

Hallo,

es gibt viele hilfreiche Seiten im Netz die zum Theama VPN recht viel erklären.
Leider habe ich hier und da etwas nicht ganz verstanden, daher frage ich hier.

Verwenden tue ich die Software OpenVPN.
Ein vServer macht den Server.

PC 01 ist derjenige der alle erreichen muss, genauer das netz dahinter.
Die anderen PC´s sollen aber nur mit PC 01 sprechen können, nicht untereinander.

Desweiteren wird das Netzwerk immer mal wieder um einen PC erweitert werden.

Meine frage daher was muss ich jetzt genau dem PC 01 sagen als route und was dem Server und den anderen PC´s?
Es geht dabei aber nur um die Netze dahinter!
2017-08-17 19 47 21

Content-ID: 346586

Url: https://administrator.de/forum/vpn-mit-mehrenen-clienten-346586.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Pjordorf
Pjordorf 17.08.2017 um 20:19:59 Uhr
Goto Top
Hallo,

Zitat von @R14943:
Verwenden tue ich die Software OpenVPN.
OK.

Ein vServer macht den Server.
Den Server oder den VPNServer? Ein Server muss noch lange kein VPN machen. Der Server hat welche IP und Netzwerkmaske usw?

PC 01 ist derjenige der alle erreichen muss, genauer das netz dahinter.
Der PC01 steht jetzt wo? Zuhause, Firma, Internet, Virtuell oder Blech?
Dein VPN ist jetzt was? Ein Stndort zu Standort oder ein Client zu einen Server?
Der PC01 hat welche IP bzw. Netzwerkmaske usw?

Die anderen PC´s sollen aber nur mit PC 01 sprechen können, nicht untereinander.
Die anderen PCs stehen wo? Im Internet, im RZ als VMs, daheim, in Firmen? Welche IPs und Netzwerkmasken haben die? Sind die selbst schon per VPN angebunden?
Welche Firewalls gibt es und wie sieht es mit der Windows eigene aus?

Desweiteren wird das Netzwerk immer mal wieder um einen PC erweitert werden.
Das dürfte dein allerkleinstes Problem sein.

Meine frage daher was muss ich jetzt genau dem PC 01 sagen als route und was dem Server und den anderen PC´s?
Die route muss so lauten das die anderen ereeicht werden können und auch die Rückroute an allen beteiligten muss passen. Bei einem Standort zu Standort VPN konfigurierst du anders als ein Client zu Server VPN. oder soll gar ein VPN zwischen diesen diversen PCs etabliert werden?

Es geht dabei aber nur um die Netze dahinter!
Wewlche Netze?

Du siehst, da fehlt fast jegliche Information um dir helfen zu können

Gruß,
Peter
aqui
aqui 18.08.2017 aktualisiert um 11:19:31 Uhr
Goto Top
Meine frage daher was muss ich jetzt genau dem PC 01 sagen als route
Gar nichts, denn ein Route Kommando ist erstmal gar nicht erforderlich in einem Standard OpenVPN Setup.
Siehe dazu auch dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OpenVPN Konfig ist auf jeder Hardware gleich.
Per Default blockt OpenVPN eine Client zu Client Kommunikation. Clients können also in einer OVPN Standardkonfig einzig nur mit dem VPN Server selber oder dem LAN und den dortigen LAN Clients dahinter kommunizieren. Eine klassische VPN Konfig eben...
Wenn eine Client zu Client Kommunikation gewünscht ist wie bei dir, dann musst du nur in der server.conf Konfig Datei das Kommando client-to-client setzen damit das möglich ist.
Das schaltet dir dann aber pauschal die Client zu Client Kommunikation ein.
Willst du den Zugriff dann zusätzlich individuell beschränken machst du das dann ganz einfach über die lokale Firewall des jeweiligen Clients auf dem VPN Adapter.
Im Grunde ist das also eine recht einfache Konfig die in 10 Minuten erledigt ist.
R14943
R14943 18.08.2017 um 20:35:59 Uhr
Goto Top
Danke aqui, ich habe auch schon daran gedacht das mit client-to-client der einfachste weg ist. Muss ich aber noch den Server irgend was sagen wo er welches client-netz findet, oder weiß er das dann?
aqui
aqui 19.08.2017 aktualisiert um 10:36:58 Uhr
Goto Top
Nein, das musst du nicht. Durch den Parameter server 172.16.2.0 255.255.255.0 in der Server Konfig ist das Client- bzw. interne OVPN Netzwerk ja vorgegeben. (Wobei das Netz 172.16.2.0 /24 hier nur ein Beispiel ist)
Siehe auch Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
R14943
R14943 19.08.2017 aktualisiert um 16:42:19 Uhr
Goto Top
Also egal wie oft ich diesen Artikel mir durchlese, egal welche Seiten ich mir im Netz noch zu gute tue, es geht nicht.

so wie ich das alles verstanden habe:

in der Server config:
push "route 192.168.1.0 255.255.255.0" (PC 01)
push "route 192.168.2.0 255.255.255.0" (PC 02)
push "route 192.168.3.0 255.255.255.0" (PC 03)
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
route 192.168.3.0 255.255.255.0
client-to-client
client-config-dir /etc/openvpn/ccd

in der client config PC01:
iroute 192.168.1.0 255.255.255.0

in der client config PC02:
iroute 192.168.2.0 255.255.255.0

Das in den Klammer natürlich nicht, die IPs von dem VPN wären dann 10.8.0.0.
Pingen können die sich alle mit den VPN-IPs, aber keiner kommt auf das Client Netz. Wieso?

https://community.openvpn.net/openvpn/wiki/RoutedLans
aqui
aqui 20.08.2017 aktualisiert um 11:53:33 Uhr
Goto Top
Deine Konfig ist totaler Blödsinn, sorry. Du hast doch gar kein lokales LAN hinter deinem OVPN Server und auch wenn, dann hast du dort ja niemals 3 lokale LAN Segmente.
Folglich ist dann jegliches "push" Kommando Blödsinn, da du ja keinerlei lokale IP LAN Netze routingtechnsich an die Clients pushen musst. Vergiss also den Unsinn und lasse das weg.
Ebenso die Client Route Kommandos sind noch größerer Unsinn, denn die würden Routen von der Client Seite (lokales LAN) an den Server senden. Auch das ist völliger Unsinn, da es diametral den Push Kommandos widerspricht. Ein Blick in die Client Routing Tabelle (route print (Windows)) hätte dir das auch sofort selber gezeigt.
IP Netzwerk Routing oder generell eine OVPN Konfig ist vermutlich leider wohl nicht deine Stärke was es hier nicht einfacher macht...
Es geht dir doch, wenn man es oben richtig versteht, einzig nur um eine Client to Client und Client to Server Konfig, richtg ??
Dann reicht eine ganz banale Server Konfig ala:
port 1194
proto udp
dev tun0
ca /openvpn/ca.crt
cert /openvpn/cert.pem
key /openvpn/key.pem
dh /openvpn/dh.pem
server 172.16.7.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Ebenso auf den Clients, dort reicht eine simple Standard Konfig.

Ist der VPN Tunnel aktiv kannst du wie immer mit route print und mit ipconfig dir auf einem Windows Client die IP Einrichtung und Routing Tabelle ansehen und checken ob das alles richtig ist.
Damit kann dann erstmal jeder mit jedem und jeder mit dem Server.
Diesen Schritt solltest du erstmal zum Fliegen bekommen was eigentlich in 10 Minuten erledigt ist. Zum Troubleshooting hilft hier wie immer ein Blick ins Server Log UND ein Blick ins Client Log. Ggf. hier posten sollte es wider Erwarten nicht klappen.
Wenn das alles klappt, kannst du das Finetuning mit den lokalen Firewalls machen. Vorher NICHT !!
Im Zweifel immer ins Tutorial sehen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router