Ich habe eine generelle Frage. Ich habe erfolgreich eine durch Zertifikate gesicherte OpenVpn-Verbindung in meinem HeimLan eingerichtet. Mein HeimLan nutzt die IP-Range 192.168.1.0/24, mein OpenVPN Server läuft über 10.8.0.1/24. Gibt es eine Möglichkeit, dass die VPN Klienten ebenfalls eine IPAdresse aus dem 192.168.1.0/24-Pool zugewiesen bekommen, so dass sowohl Clients, wie auch lokale Rechner im selben Netz sind?
OpenVPN im lokalen Netz integrieren
- Ersteller lordg2009
- Erstellt am
Stype
Lieutenant
- Registriert
- Dez. 2012
- Beiträge
- 597
10.8.0.1 ist die erste Hostadresse in deinem Netz, 10.8.0.0 ist die Netzadresse.
Du kannst in deinem VPN-Server meine ich eine Route in dein Netzwerk einrichten.
Eigentlich ist ein VPN-Server doch sowieso dazu da Clienten in SEIN Netz zu bringen oder hab ich da jetzt selber was falsch verstanden ?
Edit: Wenn der Server in einem anderen Netz ist dann ist er doch garnicht in deinem Heim-Lan ? <.<
Du kannst in deinem VPN-Server meine ich eine Route in dein Netzwerk einrichten.
Eigentlich ist ein VPN-Server doch sowieso dazu da Clienten in SEIN Netz zu bringen oder hab ich da jetzt selber was falsch verstanden ?
Edit: Wenn der Server in einem anderen Netz ist dann ist er doch garnicht in deinem Heim-Lan ? <.<
Zuletzt bearbeitet:
Hm, ich möchte aber nicht einfach nur eine Route erstellen, ich möchte, dass die Header der Pakete nach eintreffen so verändert sind, dass die SourceIP dann eine 192.168.0.0/24-Adresse ist, so dass lokale Prozesse sie behandeln, als wären sie aus dm lokalen Netz.
Der VPNServer läuft auf meinem HeimServer. der HeimServer hat eine 192.168.1.0/24 Adresse auf dem eth0 Interface und der VPNServer läuft auf einer 10.8.0.1/24 Adresse auf dem virtuellen tun0 Adapter
Ergänzung ()
Der VPNServer läuft auf meinem HeimServer. der HeimServer hat eine 192.168.1.0/24 Adresse auf dem eth0 Interface und der VPNServer läuft auf einer 10.8.0.1/24 Adresse auf dem virtuellen tun0 Adapter
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
mal schnell die zwei Netze zu verbinden geht indem du deinem Heimserver IP4 forwarding beibringst (Linux wäre das sysctl -w net.ipv4.ip_forward=1), den VPN Clients eine Route pushst und deinem normalen Router (der wohl dein Default Gateway ist) auch sagst wo die VPN Adressen gefunden werden können.
ansonsten kannst du ja den VPN Server sagen wir mit den Adresse 192.168.0.200 bis 192.168.0.240 konfigurieren
ansonsten kannst du ja den VPN Server sagen wir mit den Adresse 192.168.0.200 bis 192.168.0.240 konfigurieren
So hab gestern ne Weile die bridging Variabte versucht, ohne Erfolg. 
Habe mir brctl geladen, dann eine bridge br0 erstellt. Anschließend habe ich bei OpenVPN die tap, statt der tun Variante gewählt. Der bridge habe ich dann tap0 und eth0 hinzugefügt und das ganze per ifconfig br0 hochgefahren. Hat auch erst mal geklappt. Dann habe ich die IP des VPNServers auf 192.168.1.101 gesetzt und den Befehl angeknipst, der ihm nur erlaubt IP Adressen von 192.168.1.102-192.168.1.149 zu vergeben. Seit dem startet der Server nicht mehr, (could not acces PID-File.
Habe mir brctl geladen, dann eine bridge br0 erstellt. Anschließend habe ich bei OpenVPN die tap, statt der tun Variante gewählt. Der bridge habe ich dann tap0 und eth0 hinzugefügt und das ganze per ifconfig br0 hochgefahren. Hat auch erst mal geklappt. Dann habe ich die IP des VPNServers auf 192.168.1.101 gesetzt und den Befehl angeknipst, der ihm nur erlaubt IP Adressen von 192.168.1.102-192.168.1.149 zu vergeben. Seit dem startet der Server nicht mehr, (could not acces PID-File.
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
das geht auf jeden Fall ... hier mal 3 Screenshots die eigentlich alles bewirken 
(ein gesondertes bridge device ist nicht nochmal nötigt, zumindest so wie ich die Config mache)
mein openVPN läufts auf 192.168.178.50, mein Router ist die 192.168.178.1
Linux auf dem der VPN Server läuft
VPN Server Config
Default Gateway des physisches Netzwerkes (in der Regel dein Router, bei mir eine Fritzbox)
(ein gesondertes bridge device ist nicht nochmal nötigt, zumindest so wie ich die Config mache)
mein openVPN läufts auf 192.168.178.50, mein Router ist die 192.168.178.1
Linux auf dem der VPN Server läuft
VPN Server Config
Default Gateway des physisches Netzwerkes (in der Regel dein Router, bei mir eine Fritzbox)
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
ja, ich mach das immer mit Webmin -> OpenVPN Modul 
ist aber kein Muss, macht es aber um einiges einfacher (wenn man mal weiß wie man dort vorgeht)
ist aber kein Muss, macht es aber um einiges einfacher (wenn man mal weiß wie man dort vorgeht)Verdammt, ich bekomme es einfach nicht hin. Ich habe Webmin installiert (wirklich ne gute Administrationsoberfläche, auch wenn die JavaAplikationen noch nicht laufen). Obwohl ich das OpenVPN Modul installiert habe, finde ich kein Menü, welches aussieht, wie deines. Verbunden bin ich jetzt (mit dem Server, der auf 10.8.0.1 läuft), aber sobald ich in der server.conf auf
stelle, lässt sich der Server nicht mehr starten (failed! beim Versuch über /etc/init.d/openvpn start)
Mein Einstellungen:
Meine Fragen:
1) Wie bekomme ich es jetzt hin, dass mein Computer eine 192.168.1.x-Nummer zugewiesen bekommt und keine 10.8.0.x Nummer? server 192.168.1.101 255.255.255.0 geht nicht.
2) Beißen sich dann die vom VPN-Server zugeteilten Nummern mit denen vom DHCP meines Routers?
3) die Option net.ipv4.ip_forward=1 gibt es bei mir in der server.conf nicht
4) Wie kann man bestimmen, welcher Traffic (z.B. ein spezifischer Port) über VPN geht?
Zu 4):
Ich nutze selbe unser UniVPN undweiß daher, dass es möglich ist, dass aller traffic bis auf den aus dem lokalen Netzt (192.168.1.x Nummern) über diesen Adapter läuft. Ich habe in der cmd einen Blick auf route print riskiert und folgendes gefunden:
Ich habe nicht ganz verstanden, was Metrik bedeutet, aber ich deute das so, dass prinzipiell alles über 141.30.0.1 läuft und alles, was im lokalen Netz versendet wird extra geroutet wird. Das ist jetzt aber mein Windows-Rechner, nicht wundern.
Ein Nachtrag noch:
Prinzipiel wird doch das Routing über den Standardgateway gelöst. Mein normaler Hardware Lan Adapter hat die Standardgateway meines Routers, Mein OpenVPNAdapter hat überhaupt keine eingetragene Standardgateway, somit ist es doch eigentlich nur logisch, dass die Verbindung zwar steht, aber Standardmäßig gar nicht genutz wird. Ich denke mal, ich müsste dort die Standardgateway 10.8.0.1 eintragen, obwohl es natürlich interessant wäre, ob dies gleich über eine conf-Datei zu läsen ist.
Code:
server 192.168.1.101 255.255.255.0Mein Einstellungen:
Code:
port 15900
proto udp
dev tap
ca [CA-Pfad]
cert [CERT-Pfad]
key [KEY-Pfad]
dh [DH-Pfad]
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3Meine Fragen:
1) Wie bekomme ich es jetzt hin, dass mein Computer eine 192.168.1.x-Nummer zugewiesen bekommt und keine 10.8.0.x Nummer? server 192.168.1.101 255.255.255.0 geht nicht.
2) Beißen sich dann die vom VPN-Server zugeteilten Nummern mit denen vom DHCP meines Routers?
3) die Option net.ipv4.ip_forward=1 gibt es bei mir in der server.conf nicht
4) Wie kann man bestimmen, welcher Traffic (z.B. ein spezifischer Port) über VPN geht?
Zu 4):
Ich nutze selbe unser UniVPN undweiß daher, dass es möglich ist, dass aller traffic bis auf den aus dem lokalen Netzt (192.168.1.x Nummern) über diesen Adapter läuft. Ich habe in der cmd einen Blick auf route print riskiert und folgendes gefunden:
Code:
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 141.30.0.1 1
0.0.0.0 0.0.0.0 192.168.1.1 Standard
Ergänzung ()
Ein Nachtrag noch:
Prinzipiel wird doch das Routing über den Standardgateway gelöst. Mein normaler Hardware Lan Adapter hat die Standardgateway meines Routers, Mein OpenVPNAdapter hat überhaupt keine eingetragene Standardgateway, somit ist es doch eigentlich nur logisch, dass die Verbindung zwar steht, aber Standardmäßig gar nicht genutz wird. Ich denke mal, ich müsste dort die Standardgateway 10.8.0.1 eintragen, obwohl es natürlich interessant wäre, ob dies gleich über eine conf-Datei zu läsen ist.
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
1.) server 192.168.1.101 255.255.255.0 ist natürlich falsch ... da musst du die Subnetmaske ändern
2.) eigentlich beißt sich erstmal nicht, aber obs geht weiß ich auch nicht daich mit ip forwarding arbeite
3.) steht die option nicht in der server.conf, schau meinen scrennshot an, da steht in der titelzeile die Datei wo das eingetragen ist
4.) wo? so speziell nutze ich das bisher nicht
dein zu 4.) das sind zwei default gateways (eigentlich nicht empfohlen) außer man priorisiert sie, und genau das macht der Metrik Parameter
2.) eigentlich beißt sich erstmal nicht, aber obs geht weiß ich auch nicht daich mit ip forwarding arbeite
3.) steht die option nicht in der server.conf, schau meinen scrennshot an, da steht in der titelzeile die Datei wo das eingetragen ist
4.) wo? so speziell nutze ich das bisher nicht
dein zu 4.) das sind zwei default gateways (eigentlich nicht empfohlen) außer man priorisiert sie, und genau das macht der Metrik Parameter
zu 1) Warum muss ich die Subnetzmaske ändern? Ich will doch, dass alle Rechner dann im gleichen Netz (192.168.1.0/24) sind.
zu 3) Hab das paketforwarding gefunden, hab in der falschen Datei geschaut, zu dumm.
zu 4)
Angenommen, ich möchte im gleichen Netzwerk sein, aber trotzdem den normalen HTTP Traffic nicht über den Heimserver leiten.
zu 3) Hab das paketforwarding gefunden, hab in der falschen Datei geschaut, zu dumm.
zu 4)
Angenommen, ich möchte im gleichen Netzwerk sein, aber trotzdem den normalen HTTP Traffic nicht über den Heimserver leiten.
Zuletzt bearbeitet:
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
hmm, dann weiß ich nicht wie du das machen könntest mit den Subnetzen, sorry ... bin halt der ip forwarding nutzer
nochmal zu 4.) hmm, nicht einen default gateway pushen von openVPN dann läuft ja erstmal nix übern VPN
nochmal zu 4.) hmm, nicht einen default gateway pushen von openVPN dann läuft ja erstmal nix übern VPN
Naja, ich möchte eigentlich nur, dass letztendlich jeder im lokalen Netzt per ping auf eine 192.168.1.x nummer auch jeden VPN-client erreicht
Ich habe jetzt ein wenig den Faden verloren, welche Subnetzmaske muss ich denn jetzt nehmen?
Oder hast du 2 Netzt unter 192.168.1.x mit der subnetztmaske 255.255.255.128 genommen und dan eines von 0 bis 127 und ein zweites für vpn von 128 bis 255 und forwardest dann die pakete von dem vpn netz auf das andere?
Ich habe jetzt ein wenig den Faden verloren, welche Subnetzmaske muss ich denn jetzt nehmen?
Oder hast du 2 Netzt unter 192.168.1.x mit der subnetztmaske 255.255.255.128 genommen und dan eines von 0 bis 127 und ein zweites für vpn von 128 bis 255 und forwardest dann die pakete von dem vpn netz auf das andere?
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
ja, an die methode welche du gerade geschrieben hast hab ich gedacht ... aber sind halt immernoch zwei Netze
mit dem ip forwarding kannst du dir das dann aber auch sparen ... warum willst du das unbedingt?
mit dem ip forwarding kannst du dir das dann aber auch sparen ... warum willst du das unbedingt?
Nehmen wir an, ich möchte mit meinen Freunden im lokalen Lan über Internet spielen. Die alten Spiele, so wie man sie noch zu meiner Jugend gespielt hat. Dann kann man sich doch nur zu lokalen Adressen connecten.
Aber so langsam habe ich das Gefühl, dass ich hier was dummes schreibe.?? Wahrscheinlich habe ich da irgendwas grundlegendes verpasst
Bei dir verstehe ich aber nicht, warum du nicht gleich das 192.168.178.50 Netz ansprichst, sondern erst im 10.8.0.1 Netz bist und dann routest? Du kannst doch den Client auch auf 192.168.178.50 ansprechen lassen.
Noch mal ganz kurz zu dem aktivierten ip_forward befehl:
Ich stelle mir das so vor. Ich kann jetzt Packages, die ich über mein VPNServer 10.8.0.1 nach z.B ein 192.168.1.x Nummer schicke wirklich weiterleiten, was vorher nicht ging, oder wie?
Noch was, ich wollte ein paar Routen in WINDOWS hinzufügen per route in der cmd
Dabei ist
192.168.1.210 mein lokaler PC
10.8.0.1 mein VPNServer
METRIC 1, damit die ROUTE auch Beachtung findet
IF 26 ist der tap adapter
Oder hätte ich lieber den tun adapter wählen sollen (in der server.conf)
Das Problem, es steht zwar da, dass es geklappt hat, aber es wird bei route print nicht angezeigt und die Route klappt auch nicht.
Jetzt gings auf einmal doch, nach dem 6. Versuch, das versteht man nicht, sowas passiert aber auch unter Linux nicht. Eine Erfolgsmeldung ohne Erfolg -.-
Also mit forwarding hab ich jetzt noch nichts gemacht, aber Notfalls muss ich halt meine lokalen Rechner auch über VPN verbinden.
Aber so langsam habe ich das Gefühl, dass ich hier was dummes schreibe.?? Wahrscheinlich habe ich da irgendwas grundlegendes verpasst
Ergänzung ()
Bei dir verstehe ich aber nicht, warum du nicht gleich das 192.168.178.50 Netz ansprichst, sondern erst im 10.8.0.1 Netz bist und dann routest? Du kannst doch den Client auch auf 192.168.178.50 ansprechen lassen.
Ergänzung ()
Noch mal ganz kurz zu dem aktivierten ip_forward befehl:
Ich stelle mir das so vor. Ich kann jetzt Packages, die ich über mein VPNServer 10.8.0.1 nach z.B ein 192.168.1.x Nummer schicke wirklich weiterleiten, was vorher nicht ging, oder wie?
Ergänzung ()
Noch was, ich wollte ein paar Routen in WINDOWS hinzufügen per route in der cmd
Code:
route ADD 192.168.1.210 MASK 255.255.255.255 10.8.0.1 METRIC 1 IF 26Dabei ist
192.168.1.210 mein lokaler PC
10.8.0.1 mein VPNServer
METRIC 1, damit die ROUTE auch Beachtung findet
IF 26 ist der tap adapter
Oder hätte ich lieber den tun adapter wählen sollen (in der server.conf)
Das Problem, es steht zwar da, dass es geklappt hat, aber es wird bei route print nicht angezeigt und die Route klappt auch nicht.
Ergänzung ()
Jetzt gings auf einmal doch, nach dem 6. Versuch, das versteht man nicht, sowas passiert aber auch unter Linux nicht. Eine Erfolgsmeldung ohne Erfolg -.-
Also mit forwarding hab ich jetzt noch nichts gemacht, aber Notfalls muss ich halt meine lokalen Rechner auch über VPN verbinden.
Zuletzt bearbeitet:
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
hmm, du schreibst vielleicht verwirrende Sachen ... also mit meiner Config können alle alle Pingen ... und wenn ein Rechner Lokal und via VPN verbunden ist, so ist er auch mit seiner Lokalen als auch seiner VPN Adresse erreichbar.
