Routing für OpenVPN

[Kauabunga]

Hm, toll. Jetzt hab ichs endlich am laufen, und dann das...
ok, in den Windows PCs kann ich die Routen setzen, aber auf Router, Drucker komm ich ja dann immer noch nicht. Ist eher ein "Theoretisches Gejammer", weil ich grad eh nicht weis warum ich das will, aber es geht ums Prinzip.

 

[goetz]

Hallo,
kurze Zwischenfrage, kannst Du bei dem Bild bei Schnittstelle etwas anderes auswählen?

Gruß Götz

 

[jahlives]

Hallo,
kurze Zwischenfrage, kannst Du bei dem Bild bei Schnittstelle etwas anderes auswählen?

Gruß Götz

@ goetz
Habe genau den selben DLink Router. Routing Table geht wirklich nur am WAN Interface
@topicstarter
Wenn du es nicht bei jedem Client via route machen willst, dann muss wohl oder übel ein neuer Router her, der auch LAN Routen erlaubt. Aber alles was du via IP ansprichst kannst du auch mit Routen auf den Clients machen

 

[Kauabunga]

@Goetz

WAN(mitIP) und WAN Physikalischer Port

Mehr geht nicht. Beim Kauf des Routers wusste ich nicht dass man das auch beachten muss...Naja, Hab das OpenVPN eher aus Spass an der Freud installiert. Da kauf ich sicher keinen neuen Router.
Vorher schau ich ob ich nicht doch ne alternative Software auf den Router bring...auch aus Spass an der Freud ;o)

 

[jahlives]

Die alternative Software gibt es bei jedem System: Das route Kommando
damit kannst du wirklich alles machen was dein Router nicht kann. Du musst jedem Client auf der Serverseite zwei Route anlegen. Eine für das entferne LAN-Subnetz auf den OpenVPN-Server und eine für das Sub des OpenVPN (also z.B. 10.8.0.0) ebenfalls auf die IP des OpenVPN Servers.
Bei einem linux könnte das so ausschauen

route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.100.14
route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.100.14

Wobei 192.168.0.0 das entfernte Netz ist und 10.8.0.0 das Netz, das OpenVPN aufzieht. 192.168.100.14 muss die LAN IP des Systems sein, das OpenVPN als Server laufen hat

Btw Routen brauchst du nur für Clients die nicht via OpenVPN verbunden sind. Alle OpenVPN Clients können untereinander auch ohne manuellle Routen zugreifen

 

[goetz]

Hi,

Habe genau den selben DLink Router. Routing Table geht wirklich nur am WAN Interface

das ist dann zB. der große Unterschied bei netgear zwischen Metallgehäuse und Plastegehäuse. Meine netgear (Metallgehäuse) Geräte können statische Routen im LAN, selbst der alte FWAG114.

Gruß Götz

 

[ubuntulinux]

Wenn man die Route im Servernetz nicht anlegen kann, muss man NAT'ten (google openvpn NAT / iptables). Geht soweit ich weiss nicht mit routen nur auf den clients (der Router im Servernetz sieht dann 18.8.0.x und weiss nicht wohin, wenn man die Route anlegt wird ihm das mitgeteilt).

Könntest mal versuchen, dd wrt auf dem router zun installieren.

 

[jahlives]

Wieso sollte der Router im Server LAN die 10-er IP sehen? Die sieht er doch nur wenn der Client nicht weiss wohin damit. Hat der Client eine Route für das OpenVPN Sub auf den Gateway( OpenVP Server), dann geht das am Router "vorbei". Wies gesagt ich mach das bei mir auch so weil ich einen solchen DLink Router mein Eigen nenne

 

[ubuntulinux]

Es braucht ja immer 2 Routen: eine auf dem Client, die sagt, dass alles an den OpenVPN geht und eine auf dem Router im Servernetz, die sagt, wo Traffic für 10.8.0.0/24 hingeroutet wird. Legt man diese Route nicht an, kann man nur auf den OpenVPN Server zugreifen, aus dem Grund, dass die Route 10.8.0.0/24 dem Router nicht bekannt ist. Sagst Du ihm aber, dass er den Traffic für dieses Subnet an die DS senden soll, geht alles

 

[jahlives]

Und wenn du statt dem Router im Servernetz allen Clients im Servernetz diese beiden Routen einrichtest, dann klappt es genau gleich ;-)
Wenn du Routen für die beiden Subs auf den Clients hast, dann geht niemals ein Paket mit DEST 10.8.0.0/24 an den Serverrouter. Die Clients im Servernetz wissen dann ja, dass der Traffic nicht an den Router sondern den VPN Server muss. Spart genaugenommen sogar einen unnötigen Roundtrip an den Router ;-)

 

[ubuntulinux]

Dafür läuft aber Internet nicht am VPN und du kannst nur die Clients erreichen, die die Route haben.

 

[jahlives]

Dafür läuft aber Internet nicht am VPN und du kannst nur die Clients erreichen, die die Route haben.

Darum habe ich Squid. Dann geht auch Internet

 

[ubuntulinux]

Bei mir läufts auch ohne

Auf gewissen DLINK's kann man DDWRT installieren, kann ich nur empfehlen. Dann kann man auch Routen fürs LAN anlegen, hat SSH zugriff, kann VLAN's machen und so Nur zu empfehlen, aber ohne jegliche Garantie von mir (Habs aber selber auf meinem WR1043ND und den 2 alten WRT54GL's).

 

[jahlives]

Gibt es irgendwo eine Liste welche DLink Router diese Firmware-Alternative unterstützen? Weil dieses Feature mit den LAN Routen fehlt mir bei meinem DLInk schon

 

[Kauabunga]

Hei, nicht das ihr euch noch die Köpfe einhaut

Ich habe beide Versionen verstanden und jede hat auch ihren Charm.

Allerdings vertrete ich den Ansatz prinzipiell immer nur an einer Schraube zu drehen, und damit dann alles zu steuern.

Sprich, der für mich richtige Ansatz ist die Route auf dem Router, dafür ist das Kistle ja da, und dieser ermöglicht mir Zugriff ins komplette Netz, egal welcher Client grad da ist oder nicht. (Meinem Drucker z.B. kann ich keine Route geben, Sinnhaftigkeit dahingestellt).

Mir ist klar, das wir hier eher von der theoretischen Seite kommen. Was die Praxis her gibt sieht dann schon anderst aus....

Ich möchte nochmal meine Frage von früher aufgreifen

Was anders noch:
Versteh ich das richtig: Wenn einer die Zertifikate von meinem Laptop mopst, dann kann der ohne Problem mit meinem VPN verbinden?
Ich kenne von der "SonicWALL SSL-VPN NetExtender", dass man erst ein Passwort eingeben muss. Geht das mit OpenVpn auch?

Die Systeme haben zwar immernoch einen Passwortschutz, aber DLNA schreit z.B. fröhlich meine Bilder raus.


@jahlives
Hier ist die Liste der Dlink die OpenWRT unter stützt Link
Ich hab leider den DIR-615 Rev. D1 der wird nicht komplett unterstützt.

 

[jahlives]

Du hast mehrere Möglichkeiten. du kannst ein client Zertifikat mit Passwort Schutz für den privaten Schlüssel machen. Allerdings kannst du dann nicht mehr automatisch verbinden. Auch OpenVPN selber bietet die Möglichkeit zusätzlich zum Zertifikat auch ein PW vom User zu fordern oder du kannst bei OpenVPN auch nur Passwort (ohne Zertifikat) einrichten. Mehr dazu findest du hier (http://openvpn.net/index.php/open-source/documentation/howto.html#auth).
Danke für den Link leider ist meiner auch ned dabei.

 

[Kauabunga]

Danke für den Link. Ich denke ich muss da aber nochmal von ganz oben anfangen zu lesen. Dank dem Tutorial funktioniert das alles, aber wies halt so ist -> kopieren != kapieren. Aber das muss auf jeden Fall rein. Wenn das Zertifikat sonst raus geht, ist alles für die Katz, so brauchst dann immer noch das Passwort.

 

[Kauabunga]

Hier ist die Kompatibilitäts-Liste für dd-wrt. Da sind scheinbar alle DIR-615 unterstützt.
Link

 

[jahlives]

Nochmal danke. Dummerweise habe ich mittlerweile einen DIR-685 und der kanns ned und wird gemäss DB nicht unterstützt ;-)
auf der Serverseite habe ich jedoch einen anderen Router und der kanns, also ist es für mich okay meinen Heimclients manuell Router zu verpassen.

 

[Kauabunga]

Hab jetzt auf DD-WRT umgestellt. Da kann die Originale FW echt abstinken! Bin seit 3 Tagen am testen. Soweit scheint es stabil zu laufen. Achja, statische Routen kann mein Router jetzt auch ;o), und Wlan Zeitsteuerung, Auslastungsanzeige, Hotspotfunktion,...brauch zwar nicht alles, aber schön zu haben. Und das alles auf dem gleichen Kistle wie vorher. *schwärm*

Allerdings eine Frage:
Seit ich OpenVPN auf der DS aktiv habe, geht sie nicht mehr in den Spindown. Wenn ich den Daemon kille, dann geht es wieder. Liegt also definitiv am OpenVPN (oder einer Abhängigkeit)

Habt ihr das Problem auch? Und eventuell auch gelöst?!? ;o)