On Tue, August 10, 2010 17:17, Bernhard Schiffner wrote:
Am Dienstag, 10. August 2010, 17:03:54 schrieb Konrad Rosenbaum:
Ich gehe mal davon aus dass die OpenVPN clients von ausserhalb kommen.
Nein. Ich möchte mich zuhause vom Netbook über das ppp-gateway so zu der anderen Seite (OpneVPNServer dort) verbinden, als wäre ich dort am Netz.
Ahh. Die Firewall muss UDP und/oder TCP Port 1194 durchlassen (stateful, Verbindungsaufbau kommt vom Client) und die ueblichen NAT-Sachen damit machen. Nix besonderes. Sprich: wenn Dein Gateway NAT macht und fuer TCP und UDP eine generische Regel der Form "--state ESTABLISHED,RELATED" hat, dann brauchst Du nix weiter aufzusetzen. Ob Du TCP oder UDP und welchen Port Du verwendest entscheidest Du bei der Konfiguration von OpenVPN (beide Seiten muessen identisch sein).
Es ist im Allgemeinen keine gute Idee in der Serverconfig den Client auf bestimmte Ports festzunageln. Die beiden sollen das beim Verbindungsaufbau aushandeln.
Existiert der Server schon?
Ja: Du brauchst nur eine passende Config auf dem Client aufzubauen. Wenn es ein guter Admin war hat er schon eine passende fuer Dich fertig.
Nein: beschreib mal insgesamt was Du erreichen willst.
Der OpenVPN Server baut ein oder mehrere zusaetzliche virtuelle Netzwerkinterfaces auf. Die kannst Du lokal ganz normal konfigurieren und wie eigene Netzwerksegmente behandeln. Logischerweise muessen die in der Firewall beachtet werden.
Der Client wohl auch.
Ja. Wenn der Client selbst eine Firewall hat muss er das OpenVPN Interface natuerlich beachten. Uebrigens ist es bei IPTables kein Problem Interface aufzufuehren, die noch nicht existieren.
Es gibt zwei Typen: direkte IP-Tunnel (vor einem Jahr war das noch IPv4-only) koennen sich so automagisch konfigurieren wie PPP; virtuelle Ethernets senden ganze Frames ueber das VPN und koennen dann aber auch beliebige Payloads transportieren (z.B. auch IPX wenn Du hart genug drauf bist), sie muessen halt aber auch wie Ethernets konfiguriert werden.
IMHO: TUN/TAP?
Ja. TUN=IPv4 only, TAP=Ethernet.
Ein Beispiel fuer virtuelles Ethernet (hier fuer IPv6) findest Du hier: http://silmor.de/64 - das ist alles noch sehr statisch gehalten, man kann das auch per SLAAC/DHCP machen - ich hatte nur noch keine Zeit mal ein Update zu schreiben.
Etwa so: Für die angewälte Domain besorgt man sich DNS im eigenen Gateway, und macht das lokal allen zugänglich. Dann per iptables: wenn DestIP=dort, SNAT=OpenVPN-IP vom Gateway (ggf. unerwünschte lokale Nutzer blocken.)
Was soll das werden? Das klingt zu kompliziert um eine gute Idee zu sein.
Konrad