Re: (OT) OpenVPN: routing problem

Sun, 17 Apr 2005 02:45:30 -0700 

Guten Tag Goran Ristic,

Am Donnerstag, 14. April 2005 um 22:56 schrieb Goran Ristic:

> Hallo, Stefan! 

> <Thursday, 14. April 2005>

> Es liegt nicht an der Firewall. - Ich muss einfach andere routes pushen.

> Interessant ist folgende Konfig:
>                 TLS-Server 
>         1       |-> TLS-Client (linux) mit eigenem Netz hinter
>         2       |-> TLS-Clients (linux) per WLAN (lokal)
>         3       |-> TLS-Client (windows) mit eigebem Netz hinter
>         4       |-> TLS-Clients (windows) per WLAN (lokal)

> Noch immer habe ich das Problem: f�r alle aus (2) und (4) muss, da lokal,
> und per DHCP, die default-route umgebogen werden. F�r (1) und (3) darf das
> nicht geschehen. Die wollen sonst ihr komplettes Netz per VPN �ber meinen
> Server ins Internet bringen.

> Im Moment l�se ich das mit zwei Openvpn-Server Konfigs. Eine f�r Linux, eine
> f�r Windows. Eine dritte (ip2ip( l�uft, um (1) ans VPN anzubinden.

Hallo nochmal!

Wie w�r�s mit ner anderen Idee... Die routen (defaultroute) ist doch
statisch, d.h. es wird immer dieselbe Adresse angegeben, ja?
Dann k�nntest du das doch �ber die Clientkonfigs l�sen:

bei mir gibt�s da Folgenden Eintrag:

####
# To get the route and ifconfig settings
# from the server AUTOMATICALLY
# If not set, 
# "ifconfig 172.16.1.2 172.16.1.1"
# "route 172.16.1.0 255.255.255.0"
# "route 192.168.100.0 255.255.255.0"
# will be needed.
pull

D.h. er besorgt sich die Routen vom Server.
In deiner Situation w�rde ich das so l�sen, dass er alles vom Server
bekommt, ausser der Defaultroute und DIE setzt du indem du pull
aktivierst und dann zus�tzlich in deiner Clientenkonfig noch in etwa
Folgendes eintragen:

#push route informations to client
push "route-gateway 172.16.0.1"
push "redirect-gateway local" 
push "ip-win32 dynamic"

(wobei das nun die Serverkonfig ist, dass musst du halt umdrehen, z.B.
route-gateway 172.16.0.1 als Eintrag in der Clientkonfig -ich weiss
aber nicht, obs das gibt-)

Normalerweise m�sste das eigentlich gehen, denn damit w�rde das nur
auf bestimmten Rechnern aktiv, die das so WOLLEN (denn da muss es dann
ja explizit eingestellt werden).

ciao,
kniffte

Antwort per Email an