FrAGgi.de

Hallo, im Laufe eines Projekts soll ich in unserem Unternehmen einen OpenVPN-Server aufsetzen über den ausgewählte Mitarbeiter über das Internet in unser Firmennetz gelangen können. Der Server läuft auf der aktuellsten Debian Version und ist innerhalb unserer DMZ platziert. Der Stand: Die Konfiguration für einen einzelnen Client funktioniert wunderbar. Man kann sich auf den VPN Server verbinden, bekommt eine IP aus dem 10.0.0.0 Netz, die der OpenVPN Server dann weiter ins eigentliche Firmennetz routet (dadurch können wir in der Firewall dann den Clients anhand der 10er Adresse Berechtigungen innerhalb des Netzes zuweisen). Hier mal die Konfiguration für diesen single-client Betrieb: Server Konfiguration: dev tun proto udp port 5000 ifconfig 10.0.0.1 10.0.0.2 tls-server dh /etc/openvpn/examples/easy-rsa/2.0/keys/dhxxxx.pem ca /etc/openvpn/examples/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/examples/easy-rsa/2.0/keys/server.crt key /etc/openvpn/examples/easy-rsa/2.0/keys/server.key ;user nobody ;group nobody push "route 172.16.17.0 255.255.0.0" verb 3 Client Konfiguration: dev tun remote xxx.xxx.xxx.180 ifconfig 10.0.0.2 10.0.0.1 tls-client ca ca.crt cert test.crt key test.key port 5000 proto udp user nobody group nobody route-gateway 10.0.0.1 redirect-gateway route 172.16.0.0 255.255.0.0 <- das eigentliche Firmennetz verb 3 Alles wunderbar. Doch: Schreibe ich die Konfiguration nun so, dass auch mehrere Client verbunden werden können und eine IP aus einem Adresspool bekommen sollen (ifconfig-pool xxxxx), kann man sich zwar verbinden und bekommt eine IP aus dem 10er Netz, jedoch weigert sich der Server strikt diese IP dann ins eigentliche 172er Firmennetz zu routen. Ich bin da etwas am verzweifeln, da "route 172.16.0.0 255.255.0.0" eingetragen ist und der Server mit der 10.0.0.1 als Gateway markiert ist. Wo kann der Fehler liegen? Kann mir da jemand auf die schnelle mal eine passende Config dazu schreiben, bzw mir sagen, worrauf ich achten muss wenn mehrere Clients im Spiel sind? Ich weiss, dass OpenVPN die Client Netze in Subnetze einteilt mit jeweils nur 2 möglichen Adressen. Wie kann ich da nun einstellen, dass sie alle dennoch den Server anpingen können, bzw er erreichbar ist um als Gateway zu funktionieren und die Weiterleitung ins Firmennetz übernimmt? Denn wenn ich dem Server sage, ifconfig-pool 10.0.0.10 bis 10.0.0.100, nimmt der erste Client als Gateway automatisch die 10.0.0.9 und kann die 10.0.0.1 gar nicht finden, da es ein falshes Subnetz ist...die 10.0.0.9 ist aber nicht im VPN Netz vorhanden... Danek schonmal für jeden Tip. MfG FrAGgi

Inwiefern beeinflusst das die Tatsache mit dem "sich testen lassen"?

Definiere Kentnisse in Firefox... :hells: