OpenWRT und OpenVPN Frage

[pelze]

Hallo Leute,

ich habe den TP-Link TL-WR1043ND mit OpenWRT geflasht und ihn bei mir als AccessPoint am laufen (soll als OpenVPN server sein)
Nun möchte sich ein Freund zu mir über OpenVPN verbinden. Er würde dann das Programm OpenVPN für Windows nutzen.
Ich möchte gerne das Netzwerk so auf bauen das er in mein komplettes Netzwerk zugriff hat, aber sein Internet also E-mail abrufen, surfen etc. über sein Internet weiter läuft.
nun zu den Daten:
mein Netz läuft unter 192.168.0.0
und von meinem Freund 192.168.1.0

ich habe auch schon eine verbindung hergestellt bekommen, mit folgenden configs:
server:

config 'openvpn' 'samplevpnconfig'
        option 'enable' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun'

        option 'client_to_client' '1'
        option 'keepalive' '10 120'
        option 'comp_lzo' '1'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'
        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
        option 'status' '/tmp/openvpn-status.log'
        option 'ca' '/etc/openvpn/ca.crt'
        option 'cert' '/etc/openvpn/server.crt'
        option 'key' '/etc/openvpn/server.key'
        option 'dh' '/etc/openvpn/dh1024.pem'

        option 'server' '192.168.2.0 255.255.255.0'
        list 'push' 'route 192.168.0.0 255.255.255.0'
        list 'push' 'dhcp-option DNS 192.168.0.1'
        list 'push' 'dhcp-option DOMAIN 192.168.0.1'

client:

client
proto udp
dev tun

remote xxxx 1194
pkcs12 client.p12

ns-cert-type server
comp-lzo
persist-key
persist-tun
nobind
resolv-retry infinite
verb 3
mute 10

doch leider hatte er kein zugriff auf irgend ein Netzwerkgerät.
dort ist bestimmt noch ein fehler drin oder?
oder sollt ich lieber auf TAP Bridging umstellen?


mfg
Pelze

Edit:
noch zur info obs gbraucht wird der AccessPoint (OpenVPN server) hat eine Ip von 192.168.0.90 und der Router der das internet verbindet 192.168.0.1

 

[darkange_1]

Moin,

also wenn du schreibst "und von meinem Freund 192.168.1.0", von dir "mein Netz läuft unter 192.168.0.0" und in der Konfig steht "option 'server' '192.168.2.0 255.255.255.0'" - frage ich mich was das option server sein soll. Hier sind ja drei verschiedene private C Netze. Einmal dein, dann das entfernte und noch mal eins von dir, oder hast du dich vertippt?

Leider kenne ich mich mit der Syntax von diesem openwrt oder wie auch immer nicht aus. Arbeite nur mit Cisco und co.

Aber folgendes willst du ja erreichen.

Dein Netz 192.168.0.0/24 soll erreichbar sein für deinen Freund. Er wählt sich per OVPN ein und erhält eine private IP Adresse von deinem Range. Somit sollte er auch Zugriff haben auf dein Netz, außer die vergibst ihm eine andere IP Adresse (andere Subnetz), wenn sich zu dir einwählt.

Wir sprechen ja beide von einem remote VPN und nicht site to site VPN.

Beim Client muss noch das default gateway stimmen und im VPN Client eingerichtet sein, dass er die restlichen Adressen, die er nicht im VPN Tunnel findet, über das default gateway (0.0.0.0/32) findet.
Der Begriff dazu lautet Split tunneling.

 

[pelze]

nein vertippt habe ich mich mit dem option server 192.168.2.0 nicht, hätte ja auch 10.0.8.0 eingeben können
hatte nur angenommen das ich eine netzwerk adresse erstellen muß die noch nicht vorhanden ist.

Bin absoluter leihe noch auf dem gebiet.
Wie du das analysiert hast was ich vorhabe hast du recht.
Könntest du mir dabei behilflich sein um das ans laufen zu bekommen?
wie müßte denn so eine config noch vervollständigt werden um es so hinzubekommen?

Edit:
ich habs jetzt nochmal versucht ein klein wenig anders die config
server:

config 'openvpn' 'samplevpnconfig'
        option 'enable' '1'
        option 'port' '1194'
        option 'proto' 'udp'
        option 'dev' 'tun'

        option 'keepalive' '10 120'
        option 'comp_lzo' '1'
        option 'persist_key' '1'
        option 'persist_tun' '1'
        option 'verb' '3'
        option 'mute' '20'
        option 'ifconfig_pool_persist' '/tmp/ipp.txt'
        option 'status' '/tmp/openvpn-status.log'
        option 'ca' '/etc/openvpn/ca.crt'
        option 'cert' '/etc/openvpn/server.crt'
        option 'key' '/etc/openvpn/server.key'
        option 'dh' '/etc/openvpn/dh1024.pem'

        option 'server' '10.8.0.0 255.255.255.0'
        list 'push' 'route 192.168.0.0 255.255.255.0'
        list 'push' 'redirect-gateway"'

client:

client
proto udp
dev tun

remote xxxx.no-ip.org 1194
pkcs12 client.p12

resolv-retry infinite
persist-key
persist-tun
comp-lzo
verb 3
mute 10

Da der OpenVPN Server die Ip von 192.168.0.90 hat, kann er ihn anpingen, das geht. Aber wenn er auf ein anderes Gerät z.B. den Internet-Router (192.168.0.1) anpingen tut geht nichts

 

[Sternenfeuer]

Hast du das tun interface mit dem lan interface gebridged?

Firewall angepasst?

Die reine verbindung funktioniert? Dann fehlt wahrscheinlich die bridge

 

[pelze]

Hallo,

Firewall ist komplett ausgeschalten sowohl auf dem AccessPoint (openVPN Server) und auf dem Windows Rechner.
meinst du mit tun interface mit dem lan interface gebridged das hier?

was meinst du mit einer reinen verbindung?

 

[darkange_1]

Dein Freund soll mal eine statische Router einrichten auf die 192.168.0.1 - Ziel ist sein Tunnel INterface.

 

[pelze]

habs gelöst, mit einer tap (bridge) verbindung
da der Router kein statisches routen kann

 

[darkange_1]

Das geht auch fast das selbe freut mich dass es jetzt klappt.