Hui, jetzt wirds eventuell leicht verwirrend^^
Habe ein Heimnetzt, darin vergibt der DHCP Adressen aus dem Netz 10.10.0.0/16 und zwar im Bereich 10.10.10.100 bis 10.10.10.200.
Weiterhin ist auf dem Gateway eine Route definiert 10.10.20.0/24 --> 10.10.10.200 ( IP des VPN Servers)
Der VPN Server (10.10.10.200) hat auf eth0 besagte IP, auf einem tap-Device (tap_vpn) die IP 10.10.20.1/24(mit /16 war IPv4 nix mehr erreichbar
)
Auf das tap device verbinden sich entfernte Rechner via VPN (Layer2). Zusätzlich läuft auf dem tap_vpn ein dnsmasq, der IPs im Bereich 10.10.20.100 bis 10.10.20.200 verteilt (auch im 10.10.0.0/16 Netz)
Klappt soweit auch.
Nur versuche ich aus dem Heimnetz auf einen VPN Klienten zuzugreifen, "blockt" mich die Klientfirewall, wenn lediglich "Lokales Subnetz" erlaubt ist. Erlaube ich explizit 10.10.0.0/16 klappts.
Daher meine Frage. Was versteht Windows unter "lokales Subnetz"? Ich dachte halt der Bereich, aus dem die IP der Netzwerkadapter ist. In meinen Fall halt 141.blabla (normales LAN) und 10.10.0.0/16 (VPN LAN).
Wenn dem nicht so ist, könnte ich ja auch Heimnetz und VPN-Netz IP mäßig "sauber" trennen.
Mein Plan war halt, mit dem /16er Netz den Clienten dazu zu bringen, 10.10.0.0/16 übers VPN zu schicken und den Rest übers normale WAN.
Direkt auf eth0 zu bridgen hat den Nachteil, dass dann der VPN Server selber nicht übers VPN erreichbar ist Ist wohl eine Einschränkung des Kernels (siehe hier, Punkt 3.6.11)
Daher der Umweg übers tap-device und Routing.
Habe ein Heimnetzt, darin vergibt der DHCP Adressen aus dem Netz 10.10.0.0/16 und zwar im Bereich 10.10.10.100 bis 10.10.10.200.
Weiterhin ist auf dem Gateway eine Route definiert 10.10.20.0/24 --> 10.10.10.200 ( IP des VPN Servers)
Der VPN Server (10.10.10.200) hat auf eth0 besagte IP, auf einem tap-Device (tap_vpn) die IP 10.10.20.1/24(mit /16 war IPv4 nix mehr erreichbar
)Auf das tap device verbinden sich entfernte Rechner via VPN (Layer2). Zusätzlich läuft auf dem tap_vpn ein dnsmasq, der IPs im Bereich 10.10.20.100 bis 10.10.20.200 verteilt (auch im 10.10.0.0/16 Netz)
Klappt soweit auch.
Nur versuche ich aus dem Heimnetz auf einen VPN Klienten zuzugreifen, "blockt" mich die Klientfirewall, wenn lediglich "Lokales Subnetz" erlaubt ist. Erlaube ich explizit 10.10.0.0/16 klappts.
Daher meine Frage. Was versteht Windows unter "lokales Subnetz"? Ich dachte halt der Bereich, aus dem die IP der Netzwerkadapter ist. In meinen Fall halt 141.blabla (normales LAN) und 10.10.0.0/16 (VPN LAN).
Wenn dem nicht so ist, könnte ich ja auch Heimnetz und VPN-Netz IP mäßig "sauber" trennen.
Mein Plan war halt, mit dem /16er Netz den Clienten dazu zu bringen, 10.10.0.0/16 übers VPN zu schicken und den Rest übers normale WAN.
Direkt auf eth0 zu bridgen hat den Nachteil, dass dann der VPN Server selber nicht übers VPN erreichbar ist
Ist wohl eine Einschränkung des Kernels (siehe hier, Punkt 3.6.11)Daher der Umweg übers tap-device und Routing.
