VPN Konfiguration

[Markus101]

Hallo Leute,

ich hab mal ne frage ist folgender Aufbau überhaupt möglich??
Die PCs an die mit dem WLAN verbunden sind sind jeweils VPN
Server und Client.

http://www.altthaler.de/WLAN-AUFBAU.jpg
(die zweite eth1 soll natürlich 192.168.4.2 haben)

Das müsste doch im Bridgemodus zu realisieren sein.

Grüße

 

[devilz]

Gegenfrage, warum sollte das nicht möglich sein ?
(Naja deine VPN Adresse passen so nicht ganz )

 

[Markus101]

Okay ich formuliere meine Frage um
Ist das sehr aufwendig?

Ich habe die zwei PCs jetzt mal aufgesetzt und Server und Client eingerichtet
das funktioniert.

Aber ist es schwer openvpn das bridgen zu lassen

 

[devilz]

Wieso? VPN stellt dir nen Tunnel zwischen den Beiden Rechnern her ... der Rest is ne Routingsache ...

 

[Markus101]

Also muss ich das nicht mit ner birdge machen.

Das bedeutet meine bisherige Konfiguration von VPN würde ausreichen?
und den rest löse ich mit iptables

Server:
=====
dev tun
local 192.168.4.1
remote 192.168.4.2
proto udp
port 1194
ifconfig 10.1.0.1 10.1.0.2
tls-server
dh /etc/openvpn/zertifikate/dh2048.pem
ca /etc/openvpn/zertifikate/ca.crt
cert /etc/openvpn/zertifikate/server.crt
key /etc/openvpn/zertifikate/server.key
user nobody
group nogroup
status /etc/openvpn/openvpn-status.log
comp-lzo
verb 3

Client
====
dev tun
local 192.168.4.1
remote 192.168.4.2
ifconfig 10.1.0.2 10.1.0.1
tls-client
ca /etc/openvpn/zertifikate/ca.crt
cert /etc/openvpn/zertifikate/client1.crt
key /etc/openvpn/zertifikate/client1.key
port 1194
user nobody
group nogroup
comp-lzo
verb 3

 

[zyon]

Hallo Markus101,

das passt hier grade nicht rein. Aber mit Welchen Programm hast du das Bild oben gemacht?

gruß

zyon

P.S.:

vielleicht hilft das weiter: http://www.newbie-net.de/anleitung_vpn.html

 

[devilz]

Meine Config vom desktop .. am Server komm ich grade nich ran

Ziemlich Simpel gehalten

remote SERVERIP
lport 1194
rport 1194
ifconfig 10.80.80.2 255.255.255.252
daemon
secret vpn-key
mtu-disc yes
comp-lzo
dev tap
float
keepalive 10 60
ping-timer-rem
resolv-retry infinite

 

[Markus101]

Ach das Bild kannst du mit Corell !
Ich hatte das auch nur nachgezeichnet.

Danke für deine config!

langt es wenn ich dann folgende reglen für iptables aufstelle:

#Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward


#block all traffic on eth1
iptables -A INPUT -i eth1 -j DROP
iptables -A FORWARD -i eth1 -j DROP
iptables -A OUTPUT -o eth1 -j DROP


#VPN-Bridge [permit the connection through the VPN-tunnel]
iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 1194 -j ACCEPT


#Kommunikation über Tunnel erlauben
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT


iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE



Das müsste ja dann auf dem Server und client gleich sein

 

[StyleWarZ]

@zyon, dia sollte sowas können, und sonst das visio vom Kollegen M$

 

[Markus101]

Hmm das funktioniert nur wenn ich am Client die IP 192.168.2.1 für eth0 zuweise! Dazu musste ich bei Client eingeben:

route add -net 192.168.1.0/24 gw tun0

dann konnt ich erst den Server auf der eth0 pingen


Aber weiss jemand wie das geht, dass der client auch im gleichen subnet liegt (192.168.1.2)

 

[oOSpikeOo]

Keine Ahnung ob noch aktuell aber:

Routing in gleiche Netze geht schon mal nicht wie gemerkt hattest es sei den mit NAT aber wenn man eh VPN nutzt warum noch alle Anwendungen weiterleiten müssen....

Hier noch mal ein paar sachen zu VPN Bridging:

http://wiki.archlinux.org/index.php/OpenVPN_Bridge

http://gentoo-wiki.com/HOWTO_OpenVPN_Server_for_Ethernet_Bridging_with_Server_Certificates

MfG Spike