VPN/IPtables Frage
- Ersteller dMopp
- Erstellt am
hostile
Lieutenant
- Registriert
- Jan. 2007
- Beiträge
- 580
Das Problem ist ja, wenn du eine 192.168.178.x/24-er IP-Adresse mit dem Client erreichen willst, guckt der Client ja zuerst in die Routing-Tabelle. Da steht eben entweder "ist lokal zu erreichen", "ist über Gateway xy zu erreichen" oder "gar nicht zu erreichen" und das 192.168.178.0/24-er Netz ist eben lokal. Abhilfe können in Einzelfällen Routingeinträge helfen, dass der spezielle Server nur über VPN zu erreichen ist. Wenn das Päckchen am VPN-Server ist weiß dieser ja, wo er das Ding hinschicken muss.
gruß
hostile
Was heißt hier "richtige Vorschläge"? Es geht einfach nicht.
gruß
hostile
gruß
hostile
Ergänzung ()
Was heißt hier "richtige Vorschläge"? Es geht einfach nicht.
gruß
hostile
hostile
Lieutenant
- Registriert
- Jan. 2007
- Beiträge
- 580
IP-Adressen, die dein RoadWarrior erreichen soll (der dummweise das gleiche Netz hat, wie die VPN-Site)?
Einfach route add <IP-Adresse>/<Maske> gw <IP-Adresse> (oder anders, je nach OS) auf dem RoadWarrior. Dann sieht er in der Routing-Tabelle, dass er das Paket über die VPN-Leitung schicken soll und nicht lokal "behandeln".
gruß
hostile
Verstehst du denn die Problematik? Dein Roadwarrior kann ja nicht wissen, ob er die IP-Adresse lokal suchen* (aus dem du die VPN-Verbindung aufbaust) soll oder ob du das Netz hinter dem VPN-Server meinst.
*suchen im Sinne von ARP
gruß
hostile
NAT wäre natürlich noch ne Möglichkeit, aber dann hast du auch wieder andere IP-Adressen.
gruß
hostile
Einfach route add <IP-Adresse>/<Maske> gw <IP-Adresse> (oder anders, je nach OS) auf dem RoadWarrior. Dann sieht er in der Routing-Tabelle, dass er das Paket über die VPN-Leitung schicken soll und nicht lokal "behandeln".
gruß
hostile
Ergänzung ()
Verstehst du denn die Problematik? Dein Roadwarrior kann ja nicht wissen, ob er die IP-Adresse lokal suchen* (aus dem du die VPN-Verbindung aufbaust) soll oder ob du das Netz hinter dem VPN-Server meinst.
*suchen im Sinne von ARP
gruß
hostile
Ergänzung ()
NAT wäre natürlich noch ne Möglichkeit, aber dann hast du auch wieder andere IP-Adressen.
gruß
hostile
- Registriert
- März 2007
- Beiträge
- 9.688
Mir ist das schon klar. Ich komme nur nicht auf die Lösung, wie ne Blockade im Kopf...
Ich möchte halt von nur einem Client (der hat nen anderes Netz.. da besteht die Problematik ja garnicht) auf die Adressen .1 und .111 zugreifen. Die anderen Clients sollen jedoch im Idealfall die .111 sehen. Ich werde das aber vermutlich jetzt wirklich so lösen, dass ich auf meinem PC daheim einfach VPN drauf packe und der PC somit auch ne 10.8.0.x Adresse erhalte... Nicht schön aber müsste klappen. Dazu setzte ich noch ne DNS Zone gerade auf....
Ich hoffe das klappt alles wie gewollt
(Ich befürchte, Windows wird den per ovpn mitgesendeten DNS nie fragen... >_<)
Ich möchte halt von nur einem Client (der hat nen anderes Netz.. da besteht die Problematik ja garnicht) auf die Adressen .1 und .111 zugreifen. Die anderen Clients sollen jedoch im Idealfall die .111 sehen. Ich werde das aber vermutlich jetzt wirklich so lösen, dass ich auf meinem PC daheim einfach VPN drauf packe und der PC somit auch ne 10.8.0.x Adresse erhalte... Nicht schön aber müsste klappen. Dazu setzte ich noch ne DNS Zone gerade auf....
Ich hoffe das klappt alles wie gewollt
(Ich befürchte, Windows wird den per ovpn mitgesendeten DNS nie fragen... >_<)
Zuletzt bearbeitet:
- Registriert
- März 2007
- Beiträge
- 9.688
Meine NAT Regel sollte nichts damit am hut haben, dass der DummPC (VPN Client) einfach nicht mehr ins Internet kommt wenn das VPN aktiv ist .... Das war ja das Ausgangsproblem was mich darauf gebracht hat, das mein Kozept fürn Po war... Erneut testen kann ich im Laufe der Woche erst. Von Arbeit aus klappt nun alles.
(Abgesehen vom NATTING, aber daran arbeite ich grad...)
(Abgesehen vom NATTING, aber daran arbeite ich grad...)
Zuletzt bearbeitet:
hostile
Lieutenant
- Registriert
- Jan. 2007
- Beiträge
- 580
Genau, da der DummPC ja denkt, dass jedes 192.168.178.0-er Paket über VPN geschickt werden muss, also auch die Pakete, die eigentlich die VPN-Pakete transportieren - zum lokalen Router und dann ins Internet - vermute ich erstmal. Ist eine Option und müsste man abschalten können. OpenVPN-Client?
gruß
hostile
gruß
hostile
