Clients hinter OpenVPN Server sichtbar machen

[rasta74]

Hallo zusammen!
ich lese gern im Forum, nun stehe ich aber selbst vor einem "kleinen" Problem.


Wie auf dem Bild zu sehen ist, habe ich einen Open VPN Server laufen, auf den die externen Clients per OpenVPN zugreifen können.
Das tun diese bereits auch. Ein Netzlaufwerk von Server zum externen Client besteht bereits. Nun möchte ich aber, daß ich von den externen Clients auf die internen Clients zugreifen kann.

Ich bin hier leider nicht so firm, deshalb ist hier anbei mal die server.ovpn

# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\MeinServer.crt"
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\MeinServer.key"
dh "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"

# Server und Netzwerk
local 192.168.2.50 #LAN-Adresse des Servers
port 1194
proto udp

dev tap
server 192.168.10.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt

route 192.168.10.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
route add 192.168.10.0 MASK 255.255.255.0 192.168.2.50

client-to-client
route-method exe
route-delay
tls-server
mode server
comp-lzo
persist-key
persist-tun
keepalive 10 120

# Log
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
verb 3

eine client.ovpn

# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\MeinClient2.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\MeinClient2.key"

ns-cert-type server

# Client-Setup
client
dev tap
proto udp
remote 88.88.88.88 1194 #Hostname verändert
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3 

pull

ich gehe mal davon aus, daß ich einen Fehler in der push route habe
Vielleicht kann mir hier jemand einen Rat geben.
Vielen Dank!

 

[En3rg1eR1egel]

das hier :

route 192.168.10.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.10.0 255.255.255.0"
route add 192.168.10.0 MASK 255.255.255.0 192.168.2.50

ist ja erstens doppelt gemoppelt und teilweise unsinnig

die 5 zeilen weg und durch die eine:

push "route 192.168.2.0 255.255.255.0"

ersetzen

 

[rasta74]

Hallo En3rg1eR1egel,

vielen Dank für Deine Antwort. Leider komme ich vom externen Client 1 nicht auf den internen Client 1 durch, nur auf den Server. Ich habe bereits das IP-Forwarding eingestellt. Trotzdem nichts.

Der Port 1194 und die openvpn.exe sind auch in der Firewall freigegeben.

Ich stehe hier echt auf dem Schlauch

 

[Raijin]

Die internen Clients müssen auch die Route ins VPN kennen. Aktuell sieht es so aus, dass die VPN-Clients zwar eine Route ins Heimnetz vom Server gepusht bekommen und zB ping 192.168.2.11 auch korrekt zum OpenVPN-Server geschickt wird. Dieser routet das auch brav ins Heimnetz. ABER: Die Quell-IP ist nach wie vor aus dem VPN, zB 192.168.10.2. Das kennen die internen Clients nicht und schicken es stur an ihr Standard-Gateway. Das wird vermutlich die 192.168.2.1 sein (ein Speedport?).

Nun hast du mehrere Möglichkeiten:


1) Die internen Clients haben eine Route ins 192.168.10.0/24 via 192.168.2.50
2) Die internen Clients nutzen die 192.168.2.50 als Standard-Gateway und der VPN-Server routet dann nach Bedarf ins VPN/zum Internetrouter
3) Im Internet-Router, der bei den internen PCs als Standard-Gateway eingetragen ist, wird eine Route ins 192.168.10.0/24 via 192.168.2.50 erstellt
4) Der OpenVPN-Server macht NAT und die internen Clients sehen als Quelle die 192.168.2.50 und antworten dahin


Such dir aus wie du es machen willst. Am einfachsten bzw. am schnellsten zu testen ist #1. #2, #3 und #4 sind für die internen Computer gewissermaßen unsichtbar, weil sie vom VPN nichts mitbekommen.

Wenn es immer noch nicht klappt, lädst du dir am besten mal WireShark runter und schaust auf dem Server und den PCs mal nach ob überhaupt Daten ankommen bzw. an welchem Punkt sie hängen bleiben.