OpenVPN - Konfigurationsproblem

Backup, Restore und Transfer von Daten
suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach
 

OpenVPN - Konfigurationsproblem

Post by suntzu »

Hi zusammen,


eins vorneweg: Der Server, die .180 hat eine öffentliche IP-Adresse, ist also aus dem Internet erreichbar und hängt in dem .128/25 Subnetz, welches ich per VPN erreichbar machen will.

Folgende Konfiguration:

Server:

Code: Select all

tunesien:/etc/openvpn # ifconfig
[...]
br0 inet addr:123.123.123.180 Bcast:123.123.123.255 Mask:255.255.255.128
[...]

tunesien:/etc/openvpn # brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.0050dae33075       no              eth0
                                                        tap0
Server openvpn.conf:

Code: Select all

tunesien:/etc/openvpn # grep -v "^$" openvpn.conf | grep -v "^#" | grep -v "^;"
port 1194
proto udp
dev tap0
ca ca.crt
cert deutschland.crt
key deutschland.key  # This file should be kept secret
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 123.123.123.180 255.255.255.128 123.123.123.224 123.123.123.229
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Routen:

Code: Select all

tunesien:/etc/openvpn # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
n-A-30-128-25-b *               255.255.255.128 U     0      0        0 br0
loopback        *               255.0.0.0       U     0      0        0 lo
default         c4k-sbbio-1.noc 0.0.0.0         UG    0      0        0 br0
So, Client-Seite openvpn.conf:

Code: Select all

shaolin:/etc/openvpn# grep -v "^;" biovt.conf | grep -v "^#" | grep -v "^$"
client
dev tap0
proto udp
remote 123.123.123.180 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert ersterclient.crt
key ersterclient.key
comp-lzo
verb 3
OK soweit, hoffe ich ist alles klar und richtig.

Folgende

Server:

Code: Select all

Thu Aug 10 14:13:14 2006 217.187.112.193:1174 [Dominik] Peer Connection Initiated with 217.187.112.193:1174
Thu Aug 10 14:13:15 2006 Dominik/217.187.112.193:1174 PUSH: Received control message: 'PUSH_REQUEST'
Thu Aug 10 14:13:15 2006 Dominik/217.187.112.193:1174 SENT CONTROL [Dominik]: 'PUSH_REPLY,route-gateway 123.123.123.254,ping 10,ping-restart 120,ifconfig 123.123.123.224 255.255.255.128' (status=1)
Thu Aug 10 14:15:37 2006 read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
^^^^^^^^ wird dutzende Male wiederholt ^^^^^^^^
Client:

Code: Select all

Thu Aug 10 14:10:06 2006 OPTIONS IMPORT: route options modified
Thu Aug 10 14:10:06 2006 WARNING: --remote address [123.123.123.180] conflicts with --ifconfig subnet [123.123.123.224, 255.255.255.128] -- local and remote addresses cannot be inside of the --ifconfig subnet. (silence this warning with --ifconfig-nowarn)
Thu Aug 10 14:10:06 2006 TUN/TAP device tap0 opened
Thu Aug 10 14:10:06 2006 /sbin/ifconfig tap0 123.123.123.224 netmask 255.255.255.128 mtu 1500 broadcast 123.123.123.255
Thu Aug 10 14:10:06 2006 Initialization Sequence Completed
Thu Aug 10 14:10:09 2006 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=113)
Thu Aug 10 14:10:21 2006 read UDPv4 [EHOSTUNREACH|EHOSTUNREACH|EHOSTUNREACH]: No route to host (code=113)
^^^^^^^^ wird dutzende Male wiederholt ^^^^^^^^
Firewall läuft auf keinem von beiden Rechnern.

Das Problem scheint darin zu liegen, dass die Server-Adresse (.180) im gleichen Subnetz liegt, wie das Subnetz, in das der Client hineinsoll - genau das will ich aber! Leider habe ich in der VPN-Doku keinerlei Hinweise (zumindest keine weiterführenden) gefunden, wie dieses Problem zu beheben ist, da dort immer von PRIVATEN Subnetzen gesprochen wird... :(

Über jeden Hinweis bin ich dankbar!

Dominik
Top
suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach
 

Re: OpenVPN - Konfigurationsproblem

Post by suntzu »

Hi,

für die, die es interessiert:
Es ist erstmal nicht nativ möglich, solch ein Setup zu erstellen, da nach Aufbau des Tunnels versucht wird, den Tunnel über den Tunnel laufen zu lassen - nicht sonderlich praktikabel also :)

Eine Lösungsmöglichkeit wäre/ist, dem Client die Route zum OpenVPN-Server manuell vorher mitzuteilen, so dass er nicht über den Tunnel läuft. Nachteil ist natürlich, dass dieses manuelle Setzen der Route nicht über die Konfigurationsdatei für den VPN läuft, so dass ein "normaler" Nutzer damit überfordert ist/sein könnte (und in meinem Fall wohl ist...).

Vermutlich werde ich es jetzt so lösen, dass die Nutzer des VPNs nur auf einen einzigen Server innerhalb der IP-Range ...128/25 zugreifen dürfen, dieser Server ein anderer als der OpenVPN-Server ist und alle Freigaben anderer Rechner muss ich dann einfach auf diesem Server einbinden. Unschön, aber gut, was tut man nicht alles für seinen Chef :?

Gruß,
Dominik
Top

Return to “Datentransfer”