Am Donnerstag, 30. März 2006 18:12 schrieb Andre Tann:
Thomas Gräber, Donnerstag, 30. März 2006 16:27:
Ich vermute mal, du willst das mit der SuSEfirewall2 machen, oder? Dann solltest du am besten mal direkt in die Konfigurationsdatei in /etc/sysconfig/SuSEfirewall2 schauen und das dort ändern. Danach ein SuSEfirewall start um die Änderungen zu übernehmen.
OK, das habe ich nunmehr ausgiebig probiert, aber ich hatte keinen Erfolg. Vermutlich liegt das daran, daß ich nicht genug von IP-Netzen verstehe.
Daher versuche ich nun, das Problem aufzuzeichnen, in der Hoffnung, daß mir da jemand in der Sache helfen kann. Kann doch eigentlich nicht so schwer sein, da es eine Standard-Situation ist.
Ziel ist, einen externen Benutzer in das Firmen-LAN zu lassen. Dabei ist der OpenVPN-Server nicht das Standardgateway im LAN. Das Netz sieht so aus:
Notebook (192.168.66.69 und 10.8.0.6)
DSL-Router
(((((( Internet )))))))
Firmen-Firewall ext: fixe IP,
| int: 192.168.0.200 | Forwarding Port 1194 auf 192.168.0.199
+--VPN-Server mit 192.168.0.199 (eth0)
| und 10.8.0.1 (tun0)
+--Server1 mit 192.168.0.20 +--Server2 mit 192.168.0.21 +--Client1 usw.
Wie kriege ich jetzt Pakete vom Notebook auf Server1 und 2?
In meiner Grundeinstellung kann ich vom Notebook aus 10.8.0.1 und vom VPN-Server 10.8.0.6 pingen.
Jetzt wollte ich dem Notebook sagen, wo es 192.168.0.20 suchen soll. Dazu habe ich gesetzt
# grep push /etc/openvpn/server.conf push "route 192.168.0.0 255.255.255.0"
Ist das richtig? [1] müsste soweit stimmen, nur taucht es komischerweise nicht in der Routingtabelle des notebooks auf. Kannst ja mal nen traceroute machen.
Allerdings kann ich jetzt immer noch keinen Server im LAN pingen. Die Pakete finden wohl den Rückweg nicht, und vermutlich auch schon den Hinweg nicht [2].
Kann mir jemand helfen, wie ich das hinbekomme? Irgendwie steh ich auf dem Schlauch. Es muß doch möglich sein, per Masquerading o.ä. eine Einstellung zu finden, mit der die Pakete den Rückweg finden, auch ohne daß ich den ganzen Maschinen im LAN eine feste Route mitgebe. Schließlich kann ich mich auch mit Maschinen im Internet unterhalten, ohne daß die den Rückweg zu mir hinter meinen Router kennen. Es wäre zwar kein Problem, der Firmen-Firewall eine statische Route für Pakete zu 10.8.0.0/16 auf 192.168.0.199 mitzuteilen [3], aber es muß doch auch irgendwie ohne gehen.
Was evtl. klappen könnte, wäre in der SuSEfirewall2 des Openvpn-Servers das Masquerading-device auf ethx(welches die Schnittstelle zum 192.168.0.x-Netz ist) zu setzen und Masquerading-Netz 10.8.0.0/24.
Ich bitte um Erleuchtung.
Erleuchtung vielleicht nicht, aber evtl. etwas Licht. Mfg, Thomas